Eine alte Schwachstelle im Befehl sudo betrifft offenbar auch macOS. Sie ermöglicht es einem lokalen Angreifer, sich Root-Rechte zu verschaffen und damit das gesamte System zu übernehmen. Die Schwachstelle baut auf Programmierfehlern beim Parsen von sudo-Befehlseingaben auf, mit denen sich ein Heap-basierter Pufferüberlauf herbeiführen lässt, wie eine Sicherheitsfirma in der vergangenen Woche warnte; es seien verschiedene Unix-artige Betriebssysteme betroffen.

Der Befehl sudo ermöglicht es in der Kommandozeile, bestimmte Befehle mit den Rechten eines anderen Benutzers auszuführen, zum Beispiel auch mit denen des Superusers Root. Durch den Bug sei dafür keine sudo-Berechtigung erforderlich.

Patches für Linux, aber nicht macOS

Die als "Baron Samedit" bezeichnete sudo-Lücke mit der ID CVE-2021-3156 besteht angeblich schon seit rund zehn Jahren und steckt in älteren sudo-Versionen von 1.8.2 bis 1.8.31p2 ebenso wie in neueren Versionen 1.9.0 bis 1.9.5p1. Für verschiedene Linux-Distributionen liegen inzwischen Patches vor, um die Schwachstelle auszuräumen.

In macOS kommt im aktuellen macOS 11.2 Big Sur ebenso wie in macOS 10.15 noch sudo-Version 1.8.31 zum Einsatz. Ursprünglich war noch unklar, ob sich die Schwachstelle auch ausnutzen lässt.

macOS bis 11.2 auch betroffen

Auf dem Mac seien zwar Modifikationen durch den Angreifer erforderlich, die Lücke lasse sich aber auch in der Standardkonfiguration des Betriebssystems ausnutzen, wie der Sicherheitsforscher Matthew Hickey gegenüber Zdnet mitteilte. Der Bug sei auch mit Apples am Montag veröffentlichten Sicherheitsupdates in macOS 11.2 Big Sur nicht behoben, andere auf macOS spezialisierte Sicherheitsforscher konnten dies ebenfalls reproduzieren.

Man müsse einen Symlink von sudo auf sudoedit erstellen, um dann den Heap-basierten Pufferüberlauf auslösen zu können, schreibt Hickey auf Twitter – das klappe sowohl auf mit allen Apple-Updates versehenen Intel- als auch den neuen ARM-Macs. Das Problem wurde an das Sicherheits-Team des Mac-Herstellers gemeldet, bislang liegen noch keine Informationen vor, wann der Bug gepatcht werden soll. (lbe)