Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.734.790 Produkten

Leo Becker 73

IOHIDeous: Zero-Day-Exploit für macOS veröffentlicht Update

macOS High Sierra

Bild: Apple

Eine seit wohl 15 Jahren bestehende Schwachstelle kann es einem Angreifer ermöglichen, die Kontrolle über den Mac zu übernehmen. Der nun veröffentlichte Kernel-Exploit funktioniert in macOS bis hin zu 10.13 High Sierra.

Zum Jahresanfang hat ein Sicherheitsforscher einen Zero-Day-Exploit veröffentlicht, der alle OS-X- respektive macOS-Versionen bis hin zu 10.13 High Sierra betreffen soll – und zur Übernahme des Systems eingesetzt werden kann, wenn der Nutzer entsprechend manipulierte Software ausführt. Der Exploit basiere auf einem “kleinen, hässlichen Bug” in IOHIDFamily, erklärt der Sicherheitsforscher Siguza. Er sei auf der Suche nach Schwachstellen im iOS-Kernel auf diesen macOS-spezifischen Fehler gestoßen, der einer Malware ermöglichen könne, Root-Rechte zu erlangen und damit das System zu kapern.

Anzeige

Der dem “IOHIDeous” genannten Exploit zugrunde liegende Fehler bestehe wohl seit dem Jahr 2002, schreibt der Sicherheitsforscher, möglicherweise stamme der Bug sogar noch aus NeXT-Zeiten – Nextstep bildete die Basis von Mac OS X. IOHIDFamily, eine Kernel-Extension zur Unterstützung von Eingabegeräten sei schon lange “berühmt-berüchtigt” für Bugs, so Siguza.

Der Exploit soll es unter anderem ermöglichen, Schutzfunktionen von macOS wie System Integrity Protection “permanent zu deaktivieren” – und eine Root-Shell zu installieren, Malware könnte sich damit dauerhaft im System des Nutzers einklinken. Der Exploit wurde auf macOS 10.12 Sierra und 10.13 High Sierra getestet, so der Sicherheitsforscher, könne aber auch in älteren Versionen des Betriebssystems funktionieren.

Ein wichtiger Teil von IOHIDeous zur Erlangung von Schreib- und Leserechte auf Kernel-Ebene funktioniere in der aktuellen High-Sierra-Version 10.13.2 nicht mehr, merkt Siguza an – die Schwachstelle sei aber noch vorhanden und der Exploit lasse sich deshalb entsprechend anpassen. Der aktuell eingeloggte Nutzer müsse zwangsabgemeldet werden, um den Exploit auszuführen – dies lasse sich aber auch unbemerkt beim Ausloggen durch den Nutzer, einem Neustart oder dem Aus- und späteren Anschalten des Macs durchführen.

Bis zu einem Patch durch Apple – der Hersteller wurde offenbar nicht vorab über den Bug informiert – bleibt Nutzern derzeit nur, neue Software nur aus vertrauenswürdigen Quellen zu beziehen. Im vergangenen Jahr versteckte sich Malware allerdings mehrfach auch in beliebten Mac-Tools wie Handbrake und Elmedia Player.

[Update 2.01.2018 14:55 Uhr] Er hätte die Schwachstelle an den Hersteller gemeldet, wenn Apples Bug-Bounty-Programm auch Bugs in macOS abdecken würde – oder die Lücke sich aus der Ferne ausnutzen ließe, schreibt Siguza auf Twitter. (lbe)

73 Kommentare

Themen:

Anzeige
  1. Zero-Day-Exploit IOHIDeous: Apple stellt Patch für macOS in Aussicht

    MacBook

    Noch im Januar will Apple eine gravierende Schwachstelle stopfen, die es Malware ermöglichen kann, einen Mac zu übernehmen. Nutzer sollten Software nur aus vertrauenswürdigen Quellen wie dem Mac App Store beziehen, rät der Hersteller.

  2. Ärger über fehlendes Bug-Bounty-Programm: Sicherheitsforscher will Mac-Schwachstelle offenlegen

    MacBook

    Da Apple nur für iOS-Lücken Geld bezahlt, will ein Sicherheitsforscher Details zu einem Bug in macOS veröffentlichen – statt sie vorab an den Hersteller zu melden. Aus gleichem Grund gibt es bereits einen bislang ungefixten Zero-Day-Exploit für macOS.

  3. Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Mit einem Security-Update für Sierra und El Capitan, das bereits Ende Oktober erschien, wurde auch ein böser Keychain-Bug behoben. Das hat Apple erst jetzt in den Releasenotes zur Aktualisierung klargestellt.

  4. Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen

    Schwachstelle in macOS bis High Sierra: Apps können alle Schlüsselbund-Passwörter klauen

    Schad-Software kann den kompletten Inhalt des macOS-Schlüsselbundes extrahieren, darunter die Passwörter im Klartext, wie ein Sicherheitsforscher demonstriert. Die schwere Lücke lasse selbst unsignierte Apps an die sensiblen Nutzerdaten.

  1. Pro & Contra: Tut Apple genug für die Sicherheit?

    In letzter Zeit häufen sich Berichte über Sicherheitslücken bei macOS und iOS. Reicht Apples Engagement, um seine Systeme sicher zu halten?

  2. Interview: Wie sicher sind iOS und macOS vor Angriffen?

    An der Tastatur

    Die Windows-Welt erlebt mit „WannaCry“ & Co. massive Malware-Wellen. Doch auch die Angriffe auf den Mac nehmen zu. Im Mac & i-Gespräch erklärt der renommierte Sicherheitsforscher Patrick Wardle, was Nutzern blühen könnte, wenn Apple nicht reagiert.

  3. Die Systemprozesse von macOS Sierra

    In der Hintergrundreihe „macOS intern“ blickt Mac & i seit Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend zum dritten Teil haben wir eine umfangreiche Liste vieler Systemprozesse von macOS 10.12 samt ihrer Bedeutung zusammengetragen.

  1. Honda Monkey ist zurück

    Honda Monkey

    Die Honda Monkey ist der schlagende Beweis dafür, dass Größe bei der Legendenbildung keine Rolle spielt. Die Fan-Szene, die sich um das Bonsai-Bike entwickelt hat, nahm vor allem in Japan, aber auch in Amerika und Europa absurde Züge an. Retro ist in, Honda legt seine Monkey neu auf

  2. 13 Milliarden Euro: Apple will Steuernachzahlung an Irland einleiten

    Apple Store

    Fast anderthalb Jahre nach Ablauf der ursprünglichen Frist soll ein Deal zwischen Apple und der irischen Regierung nun den Weg für die angefochtene Milliarden-Nachzahlung freimachen.

  3. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

    Überlebensgroße Statuen, die herzlich lachen

    In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

  4. 50 Tipps für bessere iPhone-Fotos

    iPhone Kamera-App

    Das stets griffbereite Smartphone macht selbst Spiegelreflexkameras Konkurrenz: Mit einigen Kniffen lässt sich aus der iPhone-Kamera auch in schwierigen Fotosituationen mehr herausholen – oft reichen dafür Bordmittel aus.

Anzeige