Forscher warnen: macOS TextUtil und KeePassXC können in Automatisierungen zu Angriffsvektoren werden

Das Problem liegt nicht an fehlerhaftem Code. Es gibt weder Speicherbeschädigung noch Authentifizierungs-Bypass noch Code-Ausführung in keinem der Fälle.

Das Risiko liegt auf der Ebene des Systemdesigns und nicht innerhalb des Binärs. Automatisierte Pipelines behandeln lokale Utilities standardmäßig als sicher, offline und begrenzt.

Wenn sich diese Annahmen als falsch erweisen, öffnen sie die Tür für unerwartete Netzwerk-Anfragen, Ressourcenerschöpfung und die Offenlegung vertrauenswürdiger Backend-Infrastrukturen gegenüber äußerem Einfluss, ohne dass irgendein sichtbarer Alarm ausgelöst wird.

Forscher während kontrollierter Tests auf macOS

Forscher während kontrollierter Tests auf macOS 26.3 (Build 25D125) unter Verwendung eines lokalen KeePassXC 2.8.0-Snapshot-Builds zusammen mit wiederholbaren differenziellen Kommandozeilen-Workflows beide Verhaltensweisen. Ihre Ergebnisse machten deutlich, dass keines der Tools defekt ist.

Das eigentliche Problem, erklärten sie, ist, dass Ingenieure und Systementwickler routinemäßig ein sichereres Verhaltensmodell annehmen, als die Realität tatsächlich bietet. Die Schwachstelle liegt nicht im Tool selbst, sondern in den Annahmen, die Teams darum herum aufbauen.

Der erste Fall betrifft macOS textutil, ein System-Binary unter /usr/bin/textutil, das in Skripten, CI-Jobs und Backend-Workern verwendet wird, um Dokumente zu konvertieren oder zu normalisieren.

Ingenieure behandeln es üblicherweise als offline-sicher,

Ingenieure behandeln es üblicherweise als offline-sicher, da es ein lokales, ausgereiftes Utility ist, das nur Dateien verarbeitet, die sich bereits auf dem System befinden.

Das Problem ist, dass textutil, wenn es eine HTML-Datei konvertiert, die entfernte Referenzen wie Bilder oder verlinkte Stylesheets enthält, diese Ressourcen stillschweigend über das Netzwerk abruft. Eine Pipeline, die davon ausgeht, dass die Dokumentenkonvertierung ein rein lokaler, begrenzter Vorgang ist, berücksichtigt diesen Nebeneffekt überhaupt nicht.

Die Tests bestätigten, dass reines HTML ohne externe Verweise null ausgehende Anfragen erzeugte, während HTML, das externe Links zu Bildern und Stylesheets enthielt, Live-HTTP-Abrufe auslöste.

Moegliche Anwendungen

Differential textutil Test – Control vs Remote HTML Input (Quelle – Cipher Security Labs) In einer Backend-Umgebung, in der ein Angreifer das HTML bereitstellt und der Konvertierungs-Worker Netzwerkzugriff hat, fungiert dieses Verhalten als ein Server-Side-Request-Primitive, das in seiner Wirkung einer Server-Side Request Forgery (SSRF) ähnelt, obwohl textutil exakt wie vorgesehen arbeitet.

Im KeePassXC KDF Boundary Problem Der zweite Fall konzentriert sich darauf, wie KeePassXC mit Schlüsselableitungsfunktions- (KDF) Parametern umgeht, die in KDBX-Datenbankdateien gespeichert sind.

Passwortmanager sind bei der Schlüsselableitung absichtlich langsam, da jeder Entsperrversuch rechnerisch aufwendig genug sein muss, um Offline-Brute-Force-Angriffe zu widerstehen. Dies ist ein Sicherheitsmerkmal des Designs und kein Softwarefehler.

Die Bedenken, die Forscher äußerten, sind,

Die Bedenken, die Forscher äußerten, sind, dass eine manipulierte KDBX-Datei extreme Transform-Rundenwerte in ihren eigenen Metadaten einbetten kann. Wenn ein System diese Datei öffnet oder verarbeitet, muss es die gesamte Ableitungsarbeit erledigen, die die Datei definiert, bevor es fortfahren kann.

KeePassXC KDF Timing – Baseline vs Crafted Testcase (Quelle – Cipher Security Labs) Eine standardmäßige KDBX-Datei mit ungefähr 1.000.000 Transform-Runden dauerte etwa 0,06 Sekunden. Eine manipulierte Datei mit 353.321.536 Runden dauerte ungefähr 7,35 Sekunden, ein Verlangsamungsfaktor von 119.

Testcase-Layout (Quelle – Cipher Security Labs) Dies bestätigt, dass diese Kosten ausschließlich der Dateigröße stammen. Für einen einzelnen Benutzer, der manuell eine persönliche Datenbank öffnet, ist diese Verzögerung höchstens handhabbar.

Für automatisierte Systeme, die viele KDBX-Dateien

Für automatisierte Systeme, die viele KDBX-Dateien gleichzeitig scannen, validieren oder stapelverarbeiten, kann dasselbe Verhalten CPU-Ressourcen erschöpfen, Worker zum Stehen bringen und die allgemeine Serviceverfügbarkeit verschlechtern.

Die Forscher waren klar, dass in diesem Prozess keine Passwörter offengelegt und kein kryptografisches Primitive gebrochen wurden. Das Risiko betrifft ausschließlich den Ressourcenverbrauch, der durch vom Angreifer bereitgestellte Metadaten, die in der Datei eingebettet sind, verursacht wird.

Die Forscher empfehlen Teams, die textutil in Pipelines mit nicht vertrauenswürdigen Eingaben verwenden, das Flag -noload anzuwenden, Konvertierungs-Worker in sandboxed Umgebungen auszuführen, HTML zu bereinigen, bevor es verarbeitet wird, und eine „deny-by-default“-Ausgangsfilterung durchzusetzen.

Moegliche Anwendungen

Für KeePassXC-Implementierungen umfassen die Empfehlungen die Anwendung maximaler KDF-Parameter-Schwellenwerte, die Anzeige expliziter Warnungen vor der Verarbeitung extremer Werte, die Durchsetzung einer begrenzten Verarbeitungszeit pro Datei und die Isolierung der Verarbeitung nicht vertrauenswürdiger Dateien.

Sie uns auf

Der Beitrag Researchers Warn macOS textutil and KeePassXC Can Become Attack Primitives in Automation erschien zuerst bei Cyber Security News.