Cybersecurity-Experten haben eine schwerwiegende Sicherheitslücke im beliebten VPN-Client Tunnelblick für macOS entdeckt, die Angreifern vollständigen Systemzugriff ermöglicht. Besonders alarmierend: Die Schwachstelle bleibt auch nach dem scheinbaren Löschen der Anwendung exploitierbar und gefährdet damit Millionen von Mac-Nutzern weltweit.
Technische Details der kritischen Schwachstelle
Die von Egor Filatov, einem Sicherheitsforscher bei Positive Technologies, identifizierte Vulnerability trägt die Kennungen CVE-2025-43711 und PT-2025-25226. Mit einem CVSS 3.1-Score von 8,1 von 10 Punkten wird sie als kritisch eingestuft. Betroffen sind nahezu alle aktiven Installationen – von Version 3.5beta06 bis 6.1beta2.
Tunnelblick fungiert als grafische Benutzeroberfläche für OpenVPN auf macOS-Systemen und genießt hohe Popularität unter sicherheitsbewussten Anwendern. Die ironische Wendung: Ein Tool zum Schutz der Privatsphäre wird selbst zur Sicherheitsbedrohung.
Angriffsvektoren und Ausnutzungsbedingungen
Für eine erfolgreiche Attacke müssen zwei zentrale Voraussetzungen erfüllt sein. Erstens benötigt der Angreifer Zugang zu einem Benutzerkonto mit Administratorrechten. Da Standard-macOS-Installationen diese Privilegien standardmäßig gewähren, trifft dies auf die überwiegende Mehrheit der Heimanwender zu.
Die zweite Bedingung hängt mit dem unvollständigen Deinstallationsverhalten vieler Nutzer zusammen. Beim einfachen Verschieben von Tunnelblick in den Papierkorb verbleiben privilegierte Systemkomponenten aktiv, die als Einfallstor für Cyberkriminelle dienen können.
Schadenspotenzial und Angriffsmöglichkeiten
Bei erfolgreicher Ausnutzung kann Malware mit erweiterten Systemprivilegien beim nächsten Neustart automatisch ausgeführt werden. Dies eröffnet Angreifern umfassende Kontrollmöglichkeiten über das kompromittierte System:
• Installation zusätzlicher Schadsoftware und Backdoors
• Diebstahl sensibler Daten und Credentials
• Manipulation kritischer Systemkonfigurationen
• Etablierung persistenter Remote-Access-Kanäle
Sofortmaßnahmen und Patch-Management
Die Tunnelblick-Entwickler reagierten prompt auf die Sicherheitsmeldung und stellten bereinigte Versionen bereit. Ein sofortiges Update auf Version 7.0, 7.1beta01 oder höher wird dringend empfohlen, um die Schwachstelle vollständig zu schließen.
Überbrückungsmaßnahmen für betroffene Systeme
Anwender, die nicht unmittelbar aktualisieren können, sollten folgende Schutzmaßnahmen implementieren:
• Tunnelblick.app im /Applications-Verzeichnis belassen
• Nutzung eingeschränkter Benutzerkonten ohne Admin-Rechte
• Manuelle Entfernung der Datei /Library/LaunchDaemons/net.tunnelblick.tunnelblick.tunnelblickd.plist bei erforderlicher Deinstallation
Sichere Deinstallationspraktiken
Für eine vollständige und sichere Entfernung von Tunnelblick sollten Nutzer ausschließlich den integrierten Uninstaller verwenden. Der Prozess erfolgt über das „VPN Details“-Fenster, die „Utilities“-Registerkarte und die „Uninstall“-Schaltfläche. Alternativ können spezialisierte Deinstallations-Tools eingesetzt werden.
Dieser Sicherheitsvorfall verdeutlicht die Bedeutung ordnungsgemäßer Software-Verwaltung und kontinuierlicher Sicherheitsüberwachung. Selbst Anwendungen, die dem Datenschutz dienen, können unbeabsichtigt zu Sicherheitsrisiken werden. Nutzer sollten nicht nur zeitnah Sicherheitsupdates installieren, sondern auch bewährte Praktiken beim Software-Management befolgen, um ihre digitale Sicherheit zu gewährleisten.
