Yosemite Update 10.10.3 schließt Backdoor

Yosemite Update 10.10.3 schließt Backdoor

Apple-Software-UpdateMit dem am 8.4.2015 veröffentlichen Update auf OS X 10.10.3 Yosemite schließt Apple eine Sicherheitslücke, die seit Jahren offen stand. Eine baldige Installation ist empfehlenswert.

Das Admin Framework in OS X beinhaltet eine versteckte Backdoor API, mit der root Privilegien erlangt werden können. Diese Backdoor existiert mindestens seit 2011, wie Emil Kvarnhammer auf TrueSec berichtet: Hidden backdoor API to root privileges in Apple OS X.

Diese Backdoor API wurde vermutlich für das Programm Systemeinstellungen und das Terminal-Werkzeug „systemsetup“ geschaffen; dummerweise kann auch jeder andere Prozess diese Funktion nutzen. Jedenfalls mit einigen (sehr) fortgeschrittenen Tricks. Emil Kvarnhammer nennt den von ihm entdeckten Exploit „Rootpipe“.

Mit dem OS X Update 10.10.3 hat Apple diese Sicherheitslücke geschlossen. Wir sind schon gespannt, welche Virenschutzsoftware-Hersteller daraus im Nachhinein wieder einen OS X Virus oder Trojaner erfinden. Apples deutsche Info-Seite über Sicherheitsupdates zeigt noch keine Informationen über das Update 10.10.3 und dazugehörige Sicherheitsupdate 2015-004. Momentan sind die Informationen dazu nur auf englisch verfügbar.

Das Sicherheitsupdate 2015-004 wird durch Apples Update-Funktion auch für OS X 10.8.5 Mountain Lion und OS X 10.9.5 Mavericks  angeboten. Der Patch des Admin Framework ist für Mavericks und Mountain Lion nicht enthalten.

Nutzer älterer OS-X-Versionen, die sich vor Rootpipe schützen wollen, sollten für die tägliche Arbeit kein Administrator-Konto verwenden. Dafür können sie ein zweites Konto mit Admin-Rechten anlegen und ihrem täglich genutzten Konto die Admin-Rechte entziehen. Wir empfehlen das seit längerer Zeit in unseren 10 Sicherheitstipps für Mac. Auch die Verwendung der Verschlüsselungsfunktion FileVault kann die Auswirkungen eines Angriffs minimieren.

3 Comments
  • Thomas
    Posted at 13:00h, 12 April

    Hallo!
    Leider sieht’s sehr danach aus als hätte Apple (mal wieder) eine für professionelle Nutzer anstrengende Phase, die jede Menge Nerven und Geld kostet.
    Grüße Thomas

  • Thomas
    Posted at 11:24h, 11 April

    Moin!
    Und was macht man jetzt als 10.8- oder 10.9-Nutzer – außer dem Sicherheitsupdate? Hat Apple womöglich vor, den Support für .8 und .9 jetzt schon einzustellen oder zu reduzieren? Ich finde die Geschichte unschön und „politisch“ unklug, zumal sie schon in der DAU-Presse kursiert…
    Viele Grüße
    Thomas

    • Thomas Kemmer
      Posted at 12:08h, 11 April

      Hi Thomas,
      mir gefällt es auch überhaupt nicht, dass Apple wegen angebliche zu tiefgreifender Änderungen in Snow Leopard und Mavericks diese fette Lücke nicht schließt.
      Aber andererseits: über welche Sicherheitslücke in Apples Betriebsystemen ist die Boulevardpresse denn bisher nicht wie die Hyänen hergefallen? Und ein kleiner Trost: um diese Lücke auszunutzen, muss der Angreifer Zugang zu Deinem Computer haben. Wenn er aber das hat, dann hast Du sowieso verloren.