Original-URL des Artikels: https://www.golem.de/news/os-x-apple-will-thunderstrike-exploits-mit-patch-verhindern-1501-111923.html    Veröffentlicht: 25.01.2015 14:10    Kurz-URL: https://glm.io/111923

OS X

Apple will Thunderstrike-Exploits mit Patch verhindern

In der aktuellen Beta von OS X 10.10.2 soll sich ein Patch befinden, der den Thunderstrike-Exploit unmöglich machen soll. Über modifizierte Thunderbolt-Geräte lassen sich mit diesem die Firmware des Macs manipulieren und Rootkits einspielen. Wann Apple die neue Version veröffentlicht, ist noch nicht bekannt.

Die meisten Macs mit Thunderbolt-Schnittstelle sind gegen einen Angriff ungeschützt, der auf dem 31. Chaos Communication Congress gezeigt wurde. Apple wolle mit einem Update von OS X dem Angriffsszenario einen Riegel vorschieben, schreibt die Website iMore.

Trammel Hudson hatte mit einem Gerät namens Thunderstrike gezeigt, wie leicht sich Mac-Firmwares aktualisieren und etwa mit einem Rootkit bespielen lassen. Das funktioniert ohne Passworteingabe, weil der Angriff vor den eigentlich üblichen Überprüfungen ausgeführt wird. Besondere Administrationsrechte braucht der Angreifer nicht - nur den Zugang zu den offenliegenden Thunderbolt-Schnittstellen.

Apple scheint das Problem schon einige Zeit zu kennen. Anders ist kaum zu erklären, dass die aktuelle Mac-Mini-Generation mit Haswell-Prozessor und der iMac 5K mit Retina-Display dagegen immun sind.

Nun scheint Apple auch für die restlichen Macs eine Gegenmaßnahme gefunden zu haben, die in der Beta der nächsten Yosemite-Version 10.10.2 vorhanden sein soll. Das spricht dafür, dass die finale Version den Patch ebenfalls enthalten wird.

Die Grundlage für den Exploit bildet das Option ROM, das seine Ursprünge im Jahr 1981 hat. Ungeachtet des technischen Fortschritts unterstützt Apple noch immer diese Funktion, mit der Angreifer neue Firmware auf Mac-Systeme spielen können. Das ist nicht nur für Geheimdienste ideal, weil sich die Infektion nur schwer feststellen oder gar entfernen lässt. Der Angriff muss allerdings immer physisch erfolgen - über die Thunderbolt-Schnittstelle des Zielrechners. Doch das dürfte vergleichsweise leicht sein, wenn die modifizierte Hardware gut getarnt ist. Nicht jeder vermutet hinter einem simplen Bildschirmkabel oder Netzwerkadapter gleich eine Attacke.

Gegenüber der Website Ars Technica teilte Hudson mit, dass Apple jedoch ungeachtet des geplanten Patches immer noch am Option ROM festhält und die Unterstützung nicht beendet hat. Hudsons Meinung nach wird es nicht mehr gebraucht. Falls doch, sollte zumindest eine Passwortabfrage eingebaut werden.  (ad)


Verwandte Artikel:
Thunderstrike-Exploit: Magic-Lantern-Entwickler zeigt unsichtbares Mac-Rootkit   
(29.12.2014, https://glm.io/111382 )
Linux: Bolt bringt Thunderbolt-3-Security für Linux   
(15.12.2017, https://glm.io/131701 )
Mobile Games: Apple setzt Gewinnwahrscheinlichkeit bei Lootboxen durch   
(09.03.2018, https://glm.io/133254 )
Bildbearbeitung: Google gibt Nik Collection auf   
(31.05.2017, https://glm.io/128112 )
Streit mit Google: Amazon löscht Chromecast-Eintrag wieder   
(09.03.2018, https://glm.io/133237 )

© 1997–2019 Golem.de, https://www.golem.de/