macOS-Lücke: TextEdit erlaubt Ausführung eingeschleuster Skripte

macOS Catalina - L. Gehrer

Der Texteditor in macOS beinhaltet eine Sicherheitslücke, die zum Ausführen von untergejubeltem Code missbraucht werden kann. Die Schwachstelle ist schon seit geraumer Zeit vorhanden, Apple sieht in ihr jedoch kein Problem und wird sie wohl auch nicht beheben.

In der App TextEdit am Mac steckt eine Schwachstelle, die es erlaubt, Code unter macOS auszuführen, der nicht ausführbar sein sollte, darauf weist aktuell der Sicherheitsforscher Jeff Johnson hin. In einem Blog-Post vom 27. April beschreibt er eine Schwachstelle in der Sandbox in TextEdit. Diese erlaubt es  einem Angreifer, aus der Sandbox auszubrechen und ein Shell-Skript dazu zu nutzen, Code außerhalb von TextEdit auszuführen.

Normalerweise dient die SandBox eben genau dem Zweck, nichts aus einer isolierten Umgebung eines Programms nach draußen dringen zu lassen, das im Rest des Systems schaden anrichten könnte. Regelmäßig demonstrieren Sicherheitsforscher und Hacker allerdings den Ausbruch aus solchen Sandkästen, besonders gerne am Beispiel von Browsern wie Chrome oder Safari. Das eigentlich beunruhigende ist aber Apples Reaktion darauf.

Apple sieht keinen Handlungsbedarf

Johnson entdeckte die Lücke nach eigenem Bekunden bereits im letzten Sommer, nahm sich dann einige Zeit für weitere Nachforschungen und kontaktierte Apple schließlich Ende des Jahres. Nun hat er eine Antwort vom Sicherheitsteam des Unternehmens erhalten: Danach sehe Apple kein Problem bei TextEdit und in der Folge auch keinen Handlungsbedarf. Die Lücke ist wenigstens in macOS Catalina 10.15.2 enthalten, konnte von Johnson aber auch noch in der vorangegangenen Version macOS Mojave nachvollzogen  werden.

Problematisch ist an ihr, dass TextEdit von vielen Nutzern arglos genutzt wird, die sicher nicht mit einer Sicherheitsproblematik in Zusammenhang mit dem simplen Textprogramm rechnen werden.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!

Gefällt Dir der Artikel?

Roman van Genabith
twitter Google app.net mail

3 Kommentare zu dem Artikel "macOS-Lücke: TextEdit erlaubt Ausführung eingeschleuster Skripte"

  1. iPhoner 30. April 2020 um 13:45 Uhr · Antworten
    It’s not a Bug, is a Feature! Schade Apple…
    iLike 2
  2. Fritze 30. April 2020 um 16:17 Uhr · Antworten
    Apples Software Abteilung arbeitet wohl wieder in der Garage von 1976!?
    iLike 3
  3. Loftus Cheek 30. April 2020 um 23:32 Uhr · Antworten
    Oje so wird das nichts den Mac in große Firmen rein zu bekommen.
    iLike 0