Business Security

macOS: Böser Fehler in Paketmanager Homebrew

Über manipulierte Casks war es möglich, unerwünschten Code auf den Rechner zu holen - Exploits gab es wohl nicht

Über den populären Paketmanager Homebrew war es aufgrund eines Fehlers möglich, beliebigen Code auf den Rechner zu spielen. Die Software, die vor allem unter macOS beliebt ist, aber auch für Linux vorliegt, ließ sich über die Cask-Funktion manipulieren, mit der statt nur Kommandozeilenwerkzeuge auch GUI-Anwendungen, Plugins, Schriftarten und andere Formen von Software installiert werden kann.

Problem in einer GitHub-Aktion

Entdeckt hat die Lücke der japanische Sicherheitsforscher RyotaK, der nähere Angaben in seinem Blog publiziert hat. Das Problem wurde über die Bug-Bounty-Plattform HackerOne gemeldet, die Homebrew nutzt. Laut Informationen von Homebrew lag der Fehler in der GitHub-Aktion "review-cask-pr", die in den Repositories homebrew-cask (Default-Repository für Casks) und homebrew-cask* verwendet wird. Bei Pull-Requests zur Änderung einer Cask-Version winkte review-cask-pr diese stets durch und löste die hauseigene "automerge"-GitHub-Aktion aus.

Harmloser Proof-of-Concept

Laut einem (harmlosen) Proof-of-Concept ließ sich so dann unerwünschter Code einschmuggeln. Homebrew hat "automerge" und "review-cask-pr" aus allen angreifbaren Repositories entfernt. Intern soll der Fehler an einer falsch angewendeten "git_diff"-Funktion liegen. Diese ließ sich dann austricksen, um böswilligen Code einzuschleusen.

Funktion ausgetauscht

Aktuell gibt es keine Hinweise darauf, dass der Bug in Form eines Exploits ausgenutzt wurde. Laut Homebrew wurde lediglich der Proof-of-Concept mit Genehmigung des Projekts publiziert, der jedoch nur eine harmlose Veränderung vornahm, die schließlich zurückgenommen wurde. Homebrew teilte weiter mit, dass von Nutzerseite keine Änderungen vorgenommen müssten. Die Funktion "automerge" werde künftig gegen die in GitHub integrierte Funktion ausgetauscht. Man werde zudem detailliertere Dokumentationen für Maintainer veröffentlichen, um diese besser an homebrew/cask und homebrew/core heranzuführen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben