Auch nach Veröffentlichung von OS X 10.10.5 in der vergangenen Woche steckt im Mac-Betriebssystem weiterhin eine Lücke, mit der sich lokale Programme Root-Rechte verschaffen können. Das berichtet der italienische Entwickler Luca Todesco, der auch schon Demonstrationscode auf Github publiziert hat.

Kombination aus mehreren Bugs

Ganz so simpel auszunutzen wie die zwischen OS X 10.10 und 10.10.4 vorhandene "DYLD_PRINT_TO_FILE"-Rechteausweitung, die gegebenenfalls in einen Tweet passte, ist die Lücke diesmal nicht. Todesco setzt auf eine Kombination mehrerer Angriffsmethoden. Ausnutzbare Bugs stecken laut dem Entwickler unter anderem im Framework IOKit, das zentraler Bestandteil von OS X ist. Zudem konnte Todesco die Address Space Layout Randomization im Kernel umgehen.

In dem Proof-of-Concept, den Todesco veröffentlicht hat, gelingt es ihm, eine Payload in eine Root-Shell zu hieven. Betroffen sein sollen alle Yosemite-Versionen. OS X 10.11, das derzeit in einer Betaphase ist, scheint nicht betroffen zu sein – hier erschwert Apple das Rooting sowieso durch einen Rootless-Modus.

Apple kurz vor Veröffentlichung informiert

Der Hersteller scheint von den Lücken nur kurz vorab informiert worden zu sein. Todesco sagte gegenüber der amerikanischen PC World, er habe dies wenige Stunden vor Veröffentlichung des Exploits getan. Dies habe nichts damit zu tun gehabt, dass er Apples Patch-Politik oder Patch-Geschwindigkeit ablehne. Der Entwickler hat mit NULLGuard ein Tool bereitgestellt, dass den Root-Exploit verhindern soll.

Der deutsche Sicherheitsexperte Stefan Esser, der die "DYLD_PRINT_TO_FILE"-Lücke entdeckt hatte, kritisierte bereits in der vergangenen Woche, dass Apple in OS X 10.10.5 offenbar ein weiteres Sicherheitsproblem verschlimmbessert hat. Details dazu nannte er zunächst nicht. Er empfahl, weiterhin sein SUIDGuard-Werkzeug zu verwenden, das gegen den "DYLD_PRINT_TO_FILE"-Bug hilft.

[Update 17.08.15 13:50 Uhr:] In einer früheren Version dieses Beitrags hieß es, Todesco habe Apple erst nach Veröffentlichung des Exploits informiert. Er hat dies aber mehrere Stunden vor dieser getan. (bsc)