Neue Schwachstellen in Mac OS X

[SelonScience]

bereits an den im Rahmen des Month of Apple Bugs aufgedeckten Lücken zeigte sich, dass Mac OS X nicht ernsthaft als Multiuser-System konzipiert wurde und die Abschottung der Benutzerkonten gegeneinander offenbar kein wichtiges Design-Ziel war. Zwei neu bekannt gewordene Schwachstellen untermauern diese Ansicht: Der Entwickler Oliver König hat eine Lücke entdeckt, mit der Angreifer ohne Anmeldung ein System kompromittieren könnten. Verbindet sich etwa ein Administrator per SSH zu Wartungszwecken auf ein Mac-OS-X-System und gibt in der Shell etwa ein sudo osascript -e 'tell Application "Finder" to beep, so öffnet sich auf dem Rechner hinter dem Login-Fenster von OS X der Finder im Root-Kontext.

http://www.heise.de/newsticker/meldung/96164/from/rss09

Naja.


"OK, ich verstehe den hack aber immer noch nicht. sudo xy muss doch
das momentane Userpasswort abfragen und erst dann die Befehlszeile xy
ausführen. Tut es das nicht?

So wie ich das verstehe, wird das Passwort über die GUI abgefragt,
aber im Hintergrund schon Finder gestartet der root-Rechte hat - aber
ich kann mich auch irren."

 

[below]

Naja, naja, wenn das Ausnutzen der Schwachstelle schon einen sudo Befehl braucht ...

Schön ist das nicht, aber auch kein Grund zur Panic.

Alex

 

[SonOfNyx]

Sicherheitslücke: Ja ; möglicher Angriffspunkt: unwahrscheinlich

Es geht ja darum, dass sich über eine SSH Remote Verbindung ein Admin einloggen muss und explizit den Finder starten soll (warum auch immer) damit die Person, die direkt vor dem Rechner sitzt hinter dem Login-Fenster den Finder im Root-Kontext angezeigt bekommt. Das ist also definitiv kein Angriffspunkt, sondern viel mehr ein Sicherheitsproblem, welches der Admin produziert.

Und das mit dem Single User Mode kann man einfach schliessen, in dem man ein Open Firmware bzw EFI Passwort einrichtet.

 

[Tensai]

Der Nächste bitte...

 

[timbajr]

So n Quark: wenn ich physischen Zugriff auf den Rechner hab, kann ich das Ding immer kompromittieren. Und ersteres ist ja mal wohl nicht wirklich der Ernst des Erstellers: log ich mich als Admin und lass das Konto offen, kann damit auch jeder machen, was er will. Also wenn ein Admin Fehler macht, ists doch klar, dass es Sicherheitslücken gibt...

 

[below]

log ich mich als Admin und lass das Konto offen, kann damit auch jeder machen, was er will.

Das stimmt seit 10.4 so nicht mehr. Alle wirklich wichtigen Einstellungen in den Systemeinstellungen verlangen noch mal eine Authorisierung

Alex

 

[Darii]

"OK, ich verstehe den hack aber immer noch nicht.

Nicht verwunderlich, weil es da keinen „Hack“ gibt. Ist aber lustig zu sehen, wie sich solche „Nachrichten“ verbreiten.

 

[MacMännchen]

(...)Eine zufällig (oder absichtlich) vor diesem Rechner stehende Person kann darauf zugreifen und darüber als Root den Rechner kompromittieren.
(...)
Laut HackMac.org genügt es, beim Booten einfach die Apfeltaste und S gedrückt zu halten, um in den Single User Mode zu gelangen und Root-Rechte zu erhalten.
(...)

In beiden Szenarien ist der physische Zugriff auf den Rechner notwendig!

(...)
Für einen echten Angriff ist das Szenario zwar arg konstruiert, weil man per SSH wohl eher selten Anwendungen in der GUI startet, allerdings demonstriert es das lückenhafte Sicherheitskonzept von Apples Betriebssystem.
(...)

Hier haut heise doch sehr auf die Pauke, finde ich.
Allerdings besteht ohne Zweifel noch Handlungsbedarf seitens der Entwickler.
Sicherheit ist kein absoluter Zustand, sondern ein ständiger Prozess, ein ständiges Bemühen, mit den geänderten Bedingungen fertig zu werden.

 

[timbajr]

Das stimmt seit 10.4 so nicht mehr. Alle wirklich wichtigen Einstellungen in den Systemeinstellungen verlangen noch mal eine Authorisierung

Alex

Das war 1.) ironisch und sollte 2.) darstellen, dass wenn ein Admin ein Fehler macht, es immer zu Schwächen kommt. Geh mal ins Terminal, gib sudo bash ein und dann Admin PWD (also wenn der root eingerichtet ist) und geh..schwupps Megaschwachstelle und irgendwie sind alle "Sicherheitslücken" aufm Mac alle solche. Das ist doch Quark. Sowas kann man doch nicht als Sicherheitslücke einstufen, sondern als Fehlverhalten des Admin. Kein Linuxserver ist sicher, wenn der Admin n Depp ist.

 

[virtua]

Höhö… ich finds lustig. Da ist nicht ein funktionierendes Schadprogramm für OS X in freier Wildbahn unterwegs (verbessert mich, wenn ich falsch liege) und trotzdem werden Begriffe wie "nicht ernsthaft konzipiert" oder "lückenhaftes Sicherheitssystem" benutzt…

 

[below]

Das ist doch Quark. Sowas kann man doch nicht als Sicherheitslücke einstufen, sondern als Fehlverhalten des Admin. Kein Linuxserver ist sicher, wenn der Admin n Depp ist.

Rischtisch

Alex

 

[below]

Höhö… ich finds lustig. Da ist nicht ein funktionierendes Schadprogramm für OS X in freier Wildbahn unterwegs

Ist das so? Link?

Alex

 

[TheSixMan]

Andersrum frag: Kennt jemand ein Schadprogramm für OS X?

 

[virtua]

Wie gesagt, verbessere mich, Alex. Bisher zumindest ist mir außer Proof-of-Concept-Spielereien nichts ernsthaftes unter die Augen gekommen. Und ich verfolge dieses Thema schon seit einiger Zeit durchaus mit Interesse.

Will aber nicht heißen, dass ich mich nicht irre… hast du was für mich?

 

[below]

Wie gesagt, verbessere mich, Alex. Bisher zumindest ist mir außer Proof-of-Concept-Spielereien nichts ernsthaftes unter die Augen gekommen. Und ich verfolge dieses Thema schon seit einiger Zeit durchaus mit Interesse.

Will aber nicht heißen, dass ich mich nicht irre… hast du was für mich?

ICH IDIOT

Hab mich verlesen und gedacht Du hättest "Da ist ein funktionierendes Schadprogramm für OS X in freier Wildbahn unterwegs"

Tut mir leid

Alex

EDIT: Ich kenne auch nur Proof-Of-Concept Spielereien von Leuten, die diese Dinge dann direkt brav an Apple melden

 

[virtua]

ICH IDIOT …

Nana, kann doch mal passieren…

 

[SonOfNyx]

Gibt es überhaupt Amerika? Ich hör darüber immer nur was im Fernsehen, aber ich war noch nie da. Oder die Titanic - ist ja alles nur ein Mythos, ich hab sie ja schliesslich noch nie gesehen. Und die Polkappen sind auch nur ein Gerücht - hab ich auch noch nicht gesehen. Tibetanische Kloster? Fake.

Die Haltung "Gibt es nicht, so lange man mir keinen Beweis liefert" ist einfach naiv und nicht tragbar. Es müsste heißen "Bisher gibt es keine Beweise dafür, aber es ist nicht auszuschliessen".

 

[Tensai]

Für all deine genannten Beispiele gibt es aber durchaus stichhaltige Beweise!

 

[below]

Du hast vollkommen recht, als Mac User sollte man sich nicht in Sicherheit wiegen.

Aber mir ist einfach nichts bekannt

Alex

 

[SonOfNyx]

Die Proof of Concept Schadprogramme beweisen, dass es möglich ist und es kann niemand garantieren, dass nicht in einer Schreibtischschublade bereits ein echtes Schadprogramm schlummert, oder es evtl sich schon verbreitet und schon morgen zuschlägt.

Schadprogramme werden i.d.R. erst entdeckt, wenn es bereits irgendwo schon einmal zugeschlagen hat, aber effektiver ist es, wenn man ihn sich erstmal verbreiten lässt und dann geballt zuschlägt.