Wie Sicherheitsexperten von Google melden, befindet sich in der letzten
Version von OS X 10.9 Mavericks eine Sicherheitslücke, mit der Angreifer
aus einer Sandbox, wie sie bei Webseiten in Safari zum Einsatz kommt,
ausbrechen können. Möglich ist dies durch einen Fehler in der XPC-Schnittstelle von networkd.
Eigentlich dient XPC zur Kommunikation zwischen unterschiedlichen
Prozessen und ist auch in der OS-X-Sandbox verfügbar. Im vorliegenden
Fall kann XPC dazu verwendet werden, schädliche Programmanweisungen in
dem networkd-Prozess einzuschleusen. Schuld ist letztendlich die
unzureichende Prüfung des Datentyps in networkd.
Ganz sicher
betroffen ist Google zufolge OS X 10.9.5, sehr wahrscheinlich aber auch
frühere Versionen. Apple wurde bereits vor 90 Tagen über die Lücke
informiert, hat aber bislang keine entsprechende
Sicherheitsaktualisierung veröffentlicht. In OS X Yosemite ist das
Problem offenbar behoben, was Apple gegenüber Google aber nicht
bestätigen wollte. Mangels Reaktion hat Google die Sicherheitslücke nach
Ablauf der dreimonatigen Frist nun öffentlich gemacht.
Quelle: Mactechnews