Sicherheitslücke im Unix-Befehl sudo entdeckt: macOS betroffen, Update wohl schon in Arbeit

04. Febr. 2021 11:00 Uhr - Redaktion

Im Unix-/Linux-Befehl sudo ist eine kritische, offenbar bereits seit Jahren bestehende Sicherheitslücke entdeckt worden, mit der sich lokale Nutzer höchste Zugriffsberechtigungen (root) verschaffen können. Auch macOS ist aufgrund des Unix-Unterbaus betroffen. Um die Sicherheitslücke auszunutzen, benötigt ein Angreifer jedoch entweder physischen Zugang zu einem entsperrten Mac oder einen zuvor freigegebenen Zugang via SSH.

Betroffen sind gleichermaßen alle Unix- und Linux-basierten Betriebssysteme. Apple wurde, wie alle anderen Hersteller, über die Schwachstelle (CVE-2021-3156) informiert und wird wahrscheinlich bereits an deren Behebung durch Integration einer fehlerbereinigten Version des sudo-Befehls arbeiten. Es ist gut möglich, dass Apple vor der nächsten regulären Update-Runde im März eine entsprechende Sicherheitsaktualisierung einschieben wird - bestätigt ist dies aber noch nicht.

 
macOS Big Sur
 
macOS Big Sur: Kryptografisch signiertes Startvolume sorgt für starken Schutz.
Bild: Apple.

 

In der Zwischenzeit können Nutzer ihre Macs durch Deaktivierung aller SSH-Fernzugänge sichern. Macs sollten bei Abwesenheit immer sofort gesperrt werden, wenn sie sich in Räumen befinden, die für fremde Personen zugänglich sind. Beginnend mit macOS Catalina ist das Systemvolume schreibgeschützt (in Big Sur sogar kryptografisch signiert), um Eingriffe in das Betriebssystem - wie sie hier mit root-Rechten möglich wären - zu unterbinden, wodurch die Angriffsfläche deutlich reduziert wird. Apple schreibt dazu:

"In macOS Catalina führte Apple das schreibgeschützte Systemvolume ein, das ein dediziertes, isoliertes Volume für Systeminhalte ist. Jetzt fügt macOS Big Sur starke kryptografische Schutzmechanismen hinzu, um Systeminhalte auf einem signierten Systemvolume (SSV) zu speichern. SSV bietet einen Kernel-Mechanismus, der die Integrität des Systeminhalts zur Laufzeit überprüft und alle Daten - Code und Nicht-Code - zurückweist, die keine gültige kryptografische Signatur von Apple haben.

SSV hilft, Manipulationen an jeglicher Apple-Software zu verhindern, die Teil des Betriebssystems ist. Außerdem macht es die macOS Software-Aktualisierung zuverlässiger und viel sicherer. SSV nutzt APFS-Snapshots, so dass, wenn ein Update nicht durchgeführt werden kann, die alte Systemversion ohne Neuinstallation wiederhergestellt werden kann."

Kommentare

Die zumindest für mich spannende Frage ist nun, welches macOS wohl noch in den Genuss kommt, gefühlt Anfang März ebenfalls den Patch zu erhalten, oder ob das wie weiland bei 10.6 mit timed und Terminal läuft: Um 10.6 ohne Bauchschmerzen weiter benutzen zu können, musste man damals die DeveloperTools installieren, den Patch selbst kompilieren und dann mittels sudo (ja, genau) mv die zu patchenden Binärdateien z.B. in _old umbenennen und durch die neuen ersetzen. Also alles im Rahmen. Ohne Gefrickel.