Finder-Schwachstelle in allen macOS-Versionen ermöglicht Codeausführung

Sicherheitsforscher melden sich mit einer neu entdeckten Sicherheitslücke in macOS. Das Problem betrifft alle macOS-Versionen bis einschließlich der neuesten Big Sur-Version.

Die fragliche Schwachstelle bezieht sich auf die Finder-Komponente des Apple-Betriebssystems. Finder ist die System-GUI-Komponente von Macs, die Dateien, das Starten von Apps und die Verwaltung von Laufwerken verarbeitet, ähnlich wie Explorer auf Windows-Systemen.

Die Sicherheitsanfälligkeit betrifft die Art und Weise, wie der Finder mit Apple-spezifischen .inetloc-Dateien umgeht. Diese ähneln Web-Shortcut-Dateien, die auf Windows-Computern verwendet werden, und werden normalerweise verwendet, um Links zu Websites und Diensten wie RSS-Feeds zu erstellen. Eine weitere Funktionalität der .inetloc-Dateien ist die Möglichkeit, eine Verknüpfung zu lokalen Dokumenten herzustellen, die auf Systemlaufwerken gespeichert sind, indem die Komponente http:// mit file:// ausgetauscht wird.

Sicherheitsforscher haben herausgefunden, dass böswillige Akteure manipulierte Dateien erstellen können, die als Anhänge in Malspam-E-Mails verwendet werden. Nachdem das Opfer überzeugt wurde, eine solche Datei zu öffnen, erlaubte das Opfer die Ausführung von stillem Code auf seinem System, ermöglicht durch Befehle, die in die bösartige .inetloc-Datei eingebettet sind.

Nachdem das Problem ursprünglich über den SSD Secure Disclosure-Dienst entdeckt und gemeldet wurde, hat Apple schnell einen Hotfix veröffentlicht, obwohl das Unternehmen beschlossen hat, keinen CVE-Eintrag für die Schwachstelle einzureichen. Die Sache ist, laut Sicherheitsforschern, der Patch hat das Problem aufgrund der Art und Weise, wie der Fix implementiert wurde, nicht behoben.

Der Patch behandelte die Schwachstelle mit Hilfe von Groß-/Kleinschreibung, was bedeutet, dass die Zeichenfolge 'file://' zwar nicht mehr funktionieren würde, aber die Großschreibung eines der Buchstaben des Wortes "Datei" immer noch eine böswillige Verwendung ermöglichen würde.

Es gibt keine harten Informationen darüber, ob diese Sicherheitsanfälligkeit bereits in freier Wildbahn ausgenutzt wurde. Die Sicherheitsnachrichtenagentur ThreatPost gab außerdem an, dass sie keine Antwort von Apple erhalten haben, als sie sie zu dem Problem kontaktierten, das zum Zeitpunkt dieses Schreibens noch nicht gepatcht ist und praktisch alle derzeit verwendeten Versionen von macOS betrifft.