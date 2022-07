Microsoft hat einen "Deep Dive" zu einer gefährlichen Sicherheitslücke veröffentlicht, die Microsoft Office im Zusammenhang mit älteren Versionen von macOS bedroht. Ein Patch für die Lücke mit der CVE-ID 2022-26706 steht bereits seit Mai bereit. Microsoft empfiehlt deshalb, mindestens macOS Monterey 12.4 beziehungsweise macOS Big Sur 11.6.6 zu installieren – also die jüngste Version von Monterey und mindestens die vorletzte Version von Big Sur.

Verlassen der Sandbox

Der ausnutzbare Fehler war Microsoftr aufgefallen, nachdem die Sicherheitsabteilung des Konzerns nach möglichen Wegen zum Durchbrechen der macOS-Sandbox über Office-Makros gesucht hatte. Dabei zeigte sich ein Problem im Zusammenhang mit dem Lesen und Schreiben von Dateien mit einem "~$"-Prefix – ein Feature, das aus Kompatibilitätsgründen in Microsoft Word belassen wurde.

Die Microsoft-Sicherheitsforscher fanden dann heraus, dass sich die macOS-Launch-Services nutzen lassen, um ein "open -stdin"-Kommando durchzuführen – mittels eines speziellen Python.-FIles, das über besagten Prefix verfügt. Damit sei es möglich gewesen, grundlegende Sicherheitsfunktionen in macOS zu umgehen und damit System- und Nutzerdaten an- beziehungsweise abzugreifen.

Immer wieder Ausbrüche

Der Bug ist bei weitem nicht die erste Lücke in der macOS-Sandbox. Im Zusammenhang mit den Launch-Services wäre es im Fall von CVE 2022-26706 wohl möglich gewesen, eine Persistenz für einen möglichen Exploit zu schaffen. Ob die Lücke jemals ausgenutzt wurde, es also tatsächlich in der freien Wildbahn vorhandene Exploits gibt beziehungsweise gab, ist unklar.

Nutzer sollten dennoch unbedingt auf die jeweils aktuellen macOS-Versionen aktualisieren, um mögliche Angriffe über Office-Makros zu verhindern. Zudem ist sinnvoll, sich allgemein über die Sicherheit von Makros zu informieren, die stets gewisse Gefahren bieten – auch ohne Exploit. Die Sandbox-Escape-Lücke, die Microsoft entdeckt hat, steckt interessanterweise auch in iOS, iPadOS, tvOS und watchOS. Zumindest für iOS und iPadOS sind Office-Varianten erhältlich. Ob es hierfür Angriffsmöglichkeiten gegeben hätte, blieb zunächst unklar. Der Bug ist mit iOS, iPadOS und tvOS 15.5 sowie watchOS 8.6 behoben – dies sind die jeweils jüngsten Betriebssystem-Versionen.

(bsc)