MacOS beschikt over een sandbox die moet voorkomen dat een applicatie onbeperkte toegang tot gebruikersdata en systeembronnen heeft, maar beveiligingsonderzoeker Mickey Jin slaagt er keer op keer in om Apples beveiligingsmaatregel te omzeilen. De onderzoeker presenteerde vorige week tijdens de 'Power of community' conferentie in Seoul een overzicht van zogenoemde 'sanbox escapes' in macOS.
Jin rapporteerde de afgelopen jaren meerdere van dergelijke beveiligingslekken aan Apple. Zo kwam het techbedrijf begin deze maand nog met updates voor meerdere door Jin gerapporteerde kwetsbaarheden. De sandbox moet ervoor zorgen dat een applicatie alleen toegang tot zijn eigen gebruikersdata en systeembronnen heeft en niet die van andere apps. De afgelopen jaren lukte het Jin om deze beperking op meerdere manieren te omzeilen.
Zo worden bestanden van de gesandboxte applicatie standaard van een speciaal quarantaine-attribuut voorzien. Dit attribuut is niet door de gesandboxte app te verwijderen. Een dergelijk attribuut werd in eerste instantie niet toegekend aan bestanden in een archiefbestand, dat van een gesandboxte applicatie afkomstig is. De uitgepakte bestanden missen daardoor dit attribuut. Naast de applicatie-sandbox is er ook een service-sandbox die niet in alle gevallen het attribuut toekent.
Daarnaast ontdekte Jin ook dat het via de XPC-service mogelijk was om uit de sandbox te breken, omdat de service zonder sandbox-beperkingen is te starten. Apple heeft deze problemen inmiddels verholpen. Jin beschrijft echter ook een sandbox-escape aangeduid als CVE-2024-27864 waarvan de CVE-melding nog moet verschijnen en waarvan onduidelijk is of Apple die heeft gepatcht. Het CVE-nummer is niet in de beveiligingsbulletins van het techbedrijf te vinden, maar het komt ook voor dat Apple CVE-nummers op een later moment toevoegt.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.