macOS-Lücke: TextEdit erlaubt Ausführung eingeschleuster Skripte
Der Texteditor in macOS beinhaltet eine Sicherheitslücke, die zum Ausführen von untergejubeltem Code missbraucht werden kann. Die Schwachstelle ist schon seit geraumer Zeit vorhanden, Apple sieht in ihr jedoch kein Problem und wird sie wohl auch nicht beheben.
In der App TextEdit am Mac steckt eine Schwachstelle, die es erlaubt, Code unter macOS auszuführen, der nicht ausführbar sein sollte, darauf weist aktuell der Sicherheitsforscher Jeff Johnson hin. In einem Blog-Post vom 27. April beschreibt er eine Schwachstelle in der Sandbox in TextEdit. Diese erlaubt es einem Angreifer, aus der Sandbox auszubrechen und ein Shell-Skript dazu zu nutzen, Code außerhalb von TextEdit auszuführen.
Normalerweise dient die SandBox eben genau dem Zweck, nichts aus einer isolierten Umgebung eines Programms nach draußen dringen zu lassen, das im Rest des Systems schaden anrichten könnte. Regelmäßig demonstrieren Sicherheitsforscher und Hacker allerdings den Ausbruch aus solchen Sandkästen, besonders gerne am Beispiel von Browsern wie Chrome oder Safari. Das eigentlich beunruhigende ist aber Apples Reaktion darauf.
Apple sieht keinen Handlungsbedarf
Johnson entdeckte die Lücke nach eigenem Bekunden bereits im letzten Sommer, nahm sich dann einige Zeit für weitere Nachforschungen und kontaktierte Apple schließlich Ende des Jahres. Nun hat er eine Antwort vom Sicherheitsteam des Unternehmens erhalten: Danach sehe Apple kein Problem bei TextEdit und in der Folge auch keinen Handlungsbedarf. Die Lücke ist wenigstens in macOS Catalina 10.15.2 enthalten, konnte von Johnson aber auch noch in der vorangegangenen Version macOS Mojave nachvollzogen werden.
Problematisch ist an ihr, dass TextEdit von vielen Nutzern arglos genutzt wird, die sicher nicht mit einer Sicherheitsproblematik in Zusammenhang mit dem simplen Textprogramm rechnen werden.
-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.
3 Kommentare zu dem Artikel "macOS-Lücke: TextEdit erlaubt Ausführung eingeschleuster Skripte"
-
iPhoner 30. April 2020 um 13:45 Uhr ·It’s not a Bug, is a Feature! Schade Apple…iLike 2
-
Fritze 30. April 2020 um 16:17 Uhr ·Apples Software Abteilung arbeitet wohl wieder in der Garage von 1976!?iLike 3
-
Loftus Cheek 30. April 2020 um 23:32 Uhr ·Oje so wird das nichts den Mac in große Firmen rein zu bekommen.iLike 0