Security: Sicherheitslücke in Mac OS X 10.10 entdeckt

In Mac OS X 10.10 und 10.8.5 befindet sich eine Sicherheitslücke, die die Übernahme des gesamten Systems ermöglicht. Details hat ihr Entdecker noch nicht veröffentlicht - in Absprache mit Apple.

Artikel veröffentlicht am ,
In Mac OS X Yosemite und Mountain Lion ist eine noch unbekannte Sicherheitslücke, die Apple untersucht.
In Mac OS X Yosemite und Mountain Lion ist eine noch unbekannte Sicherheitslücke, die Apple untersucht. (Bild: Wikimedia Commons/Nja247)

Apple hat mit dem Entdecker einer gefährlichen Sicherheitslücke in Mac OS X 10.10 und 10.8.5 eine Vereinbarung getroffen: Er darf erst im Januar 2015 Details zu dem Fehler veröffentlichen. Emil Kvarnhammar geht daher davon aus, dass Apple die von ihm gemeldete Schwachstelle ernst nimmt. Möglicherweise werde bis dahin ein Patch veröffentlicht, sagte Kvarnhammar der Techworld Sweden.

Stellenmarkt
  1. IT-Professional/IT-Administr- ator (m/w/d)
    PETER BREHM GmbH, Weisendorf / Metropolregion Nürnberg
  2. Project Coordinator (all genders) JIS - Supply Chain Management
    Joyson Safety Systems Aschaffenburg GmbH, Aschaffenburg
Detailsuche

Kvarnhammer nennt seine Lücke "Rootpipe". Über sie soll ein Angreifer auch ohne Passworteingabe eine Shell mit Root-Rechten erlangen können. Mit ihr soll die Sudo-Funktion umgangen werden können. Mit vorangesetztem Sudo lassen sich im Terminal Admin-Befehle ausführen, die allerdings normalerweise ein Passwort verlangen. Der Sicherheitsexperte bei dem schwedischen Unternehmen Truesec hatte die Lücke zunächst in Mac OS X 10.8.5 entdeckt. Mit wenigen Modifikationen lasse sie sich auch in der aktuellen Version 10.10 alias Yosemite nutzen. In Mac OS X 10.9 funktioniert der Angriff hingegen nicht.

Der Sicherheitsexperte Kvarnhammer hatte die noch unbekannte Lücke kurz nach seiner Entdeckung bei Apple gemeldet, das üblicherweise zurückhaltend auf solche Einreichungen reagiert. "Zur Sicherheit unserer Kunden veröffentlicht, bespricht oder bestätigt Apple keine Sicherheitslücken, bis es sie vollständig untersucht oder einen Patch veröffentlicht hat", heißt es auf der Webseite des Unternehmens.

Die von Kvarnhammer geratenen Maßnahmen gegen die Lücke bleiben wohl auch deshalb vage und möglicherweise sogar sinnlos. Anwender sollten ihrem Benutzerprofil die Admin-Rechte entziehen, denn standardmäßig erteile Mac OS X den Benutzern fast vollständige Privilegien, sagte er. Ohne sie müssten Anwender beispielsweise stets das Admin-Passwort eingeben, wenn sie neue Software installieren oder Updates einspielen wollen. Dazu sollten Anwender einen zweiten Benutzer einrichten, der weiterhin Admin-Rechte hat, und unter diesem ihrem eigentlichen Konto diese Rechte entziehen. Außerdem rät Kvarnhammer Benutzern, die Festplattenverschlüsselung unter Mac OS X zu nutzen. Das hilft allerdings nicht, wenn sich der Angreifer Zugriff auf das System verschafft hat, denn im laufenden Betrieb sind dann persönliche Daten ohnehin zugänglich. Der Einsatz von Verschlüsselung kann aber nicht schaden, vor allem für den Fall, dass ein Gerät gestohlen wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


tomate.salat.inc 04. Nov 2014

Wieso gehst du davon aus, dass wir alle Java-Programmierer sind? Die...

Nasreddin 04. Nov 2014

Und ich dachte seit Windows Vista das seie Überflüssig geworden. Bis dahin bin ich...

stiGGG 03. Nov 2014

"immer Admin" gibt es nicht. Unter Admin Rechte versteht man unter OSX, dass der User...

jt (Golem.de) 03. Nov 2014

Örks. Danke. Ist jetzt korrigiert.



Aktuell auf der Startseite von Golem.de
Pornoplattform
Journalisten wollen Xhamster-Eigentümer gefunden haben

Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
Artikel
  1. New World im Test: Amazon liefert ordentlich Abenteuer
    New World im Test
    Amazon liefert ordentlich Abenteuer

    Konkurrenz für World of Warcraft und Final Fantasy 14: Amazon Games macht mit dem PC-MMORPG New World momentan vor allem Sammler glücklich.
    Von Peter Steinlechner

  2. Wochenrückblick: Moderne Lösungen
    Wochenrückblick
    Moderne Lösungen

    Golem.de-Wochenrückblick Eine Anzeige gegen einen Programmierer und eine neue Switch: die Woche im Video.

  3. Waffensystem Spur: Menschen töten, so einfach wie Atmen
    Waffensystem Spur
    Menschen töten, so einfach wie Atmen

    Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
    Ein IMHO von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /