Apple hat ein Leck in macOS behoben, das zu praktisch unentfernbarer Malware führen kann. Apple wusste von dem Leck, weil Microsoft-Forscher es entdeckt und ihre Erkenntnisse mit dem macOS-Hersteller geteilt hatten.
Apple erwähnt die Microsoft-Forscher im Changelog. Diese Forscher haben inzwischen auch ihre eigenen Erkenntnisse online gestellt. Sie nennen den Exploit Migraine, weil er den Migration Assistant nutzt, ein Tool zur Übertragung von Daten von einem früheren PC auf einen neuen Mac. Der Exploit ermöglicht die Platzierung von Dateien, die dank des Systemintegritätsschutzes (SIP) vor dem Löschen geschützt sind. Dadurch ist es möglich, Rootkits oder persistente Malware zu installieren. Das ist Malware, die auch nach einem Neustart auf dem System verbleibt. Soweit wir wissen, ist dies die erste Schwachstelle, die eine Umgehung von SIP ohne physischen Zugriff auf ein System ermöglicht.
Der Migrationsassistent führt mehrere Skripte aus, die ihm die Ausführung von beliebigem Code ermöglichen. Den Microsoft-Forschern gelang es, einen Angriff aus der Ferne zu starten, indem sie den Migration Assistant mit einigen Parametern starteten, so dass ein Benutzer nicht abgemeldet sein muss, um ihn zu starten. Dies ermöglicht die Verwendung eines AppleScript, um den Migrationsassistenten zu starten und ihn durch die Schritte zum Laden des Codes zu führen. Es gibt keine Anzeichen dafür, dass die Schwachstelle in freier Wildbahn ausgenutzt wurde. Apple hat die Sicherheitslücke kürzlich in macOS Ventura behoben.