Root-Exploit für OS X beim mounten von Diskimages u.a.

A

alexzero

Aktives Mitglied
Thread Starter
Dabei seit
09.02.2008
Beiträge
1.176
Reaktionspunkte
126
Moin,

Digital-Labs hat einige Exploits für OS X (10.5.6) veröffentlich die es erlauben als normaler Nutzer Root-Rechte zu erlangen.

Eines davon nutzt einen Fehler beim Mounten von fehlerhaften HFS-Diskimages aus. Derzeit wird emfohlen keine Diskimages aus unbekannten Quellen zu öffenen.

Derzeit gibt es keine Patches von Apple dafür

Heise-Security-Artikel: heise Security - 15.04.09 - Root-Exploit für Mac OS X


Auch Interessant ist die Aussage (in Hinsicht auf Browserlücken):

"Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit." Charlie Miller und Dino Dai Zovi

Quelle: Artikel: heise Security - 23.03.09 - Pwn2own-Fazit: "Mac hacken macht Spaß, Windows ist harte Arbeit"


Mal sehen ob jemand bald diese beiden Teile zusammenführt und einen Webseite erzeugt die automatisch ein manipuliertes HFS-Image runterlädt, welches ja von der Standardeinstellung bei Safari gleich geöffnet wird und dann entsprechende Code-Segmente mit Root-Rechten ausführt.

Ich empfehlen das automatische öffnen von Archive bei Safari derzeit zu deaktivieren und keine Diskimages mehr runterzuladen.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: starbuckzero und ProUser
Danke - das wollte ich gerade auch posten :)
 
bernie313 schrieb:
Zum Einen recht alt, zum anderen Charie Miller hat sich später etwas anders geäussert, aber die Copy&Paste Journaille fragt meistens ja nicht nach
Zum Vergrößern anklicken....

Da ich keinen passenden Thread im Macuser hierzu gefunden habe, bleibt der ersten Teil wohl noch aktuell, auch wenn der zweite für dich "alt" ist.
 
ich kann ein script (Dreizeiler) schreiben, dass den Inhalt deines Home Verzeichnisses loescht wenn du es dopplet klickst :)

mein home Verzeichnis tut mir mehr weh als ein System das mit root Rechten manipuliert wird, wenn ich kein Backup habe. Das System kann ich jederzeit von DVD neu installieren.

Es ist eigentlich auch nichts neues, dass das groesste Risiko vor dem Bildschirm sitzt. Wer doppel klickt (auch auf disc images), der sollte wissen was er tut.
 
lundehundt schrieb:
ich kann ein script (Dreizeiler) schreiben, dass den Inhalt deines Home Verzeichnisses loescht wenn du es dopplet klickst :)
Zum Vergrößern anklicken....

Heldenhaft! Hat nur garnichts mit dieser Sicherheitslücke zu tuen. :rolleyes:

lundehundt schrieb:
mein home Verzeichnis tut mir mehr weh als ein System das mit root Rechten manipuliert wird, wenn ich kein Backup habe. Das System kann ich jederzeit von DVD neu installieren.
Zum Vergrößern anklicken....

Neuinstallation können Windows-Rechner die als Bots missbraucht werden auch, die Frage ist wann und wie es einem auffällt.

Ob ein Root-Exploit dir deine Files löscht oder dein System zu einem Zombie umfunktioniert wird wohl nicht auf der Inhaltsbeschreibung des Schädlings stehen. Das Argument man kann ja alles neu machen ist irgendwie sinnlos, man will doch mit dem System möglichst unbehelligt arbeiten können.

lundehundt schrieb:
Es ist eigentlich auch nichts neues, dass das groesste Risiko vor dem Bildschirm sitzt. Wer doppel klickt (auch auf disc images), der sollte wissen was er tut.
Zum Vergrößern anklicken....

Deswegen mein Hinweis bzgl. Safari und dem automatischen öffnen von Diskimages.

Klar, wenn du die Benutzer nicht an den Rechner lässt und den Rechner am besten ausschaltet ist er absolut sicher. Leider müssen manche Leute nunmal manchmal mit ihrem Rechner arbeiten. Recherchieren z.b. auf Google und klicken dabei unweigerlich auch auf Seiten die sie vorher nicht kennen, garnicht so ungewöhnliches Szenario, oder?
 
Zuletzt bearbeitet:
lundehundt schrieb:
ich kann ein script (Dreizeiler) schreiben, dass den Inhalt deines Home Verzeichnisses loescht wenn du es dopplet klickst :)
Zum Vergrößern anklicken....

Nun, der normale Benutzer wird sicherlich regelmäßig im Internet surfen und sich gelegentlich auch einmal Dateien downloaden. Und das auch Websites gehackt werden können, die eigentlich als vertrauenswürdig gelten ist kein Geheimnis.

mein home Verzeichnis tut mir mehr weh als ein System das mit root Rechten manipuliert wird, wenn ich kein Backup habe. Das System kann ich jederzeit von DVD neu installieren.
Zum Vergrößern anklicken....

Hm, Macmark sagt, das root-Rechte eigentlich viel besser seien als ein infiziertes Home, da man für ein infiziertes Home ein Backup habe.
Und übrigens, auch ein Windows kann man jederzeit von DVD neu installieren. Die Sicherheitslücken sind dann dennoch immer noch vorhanden, sofern nicht durch den Hersteller gefixt.
Zusätzlich ist ja die Frage, ob der normale Benutzer überhaupt etwas davon mitbekommt, dass das Image, welches er mounten wollte, ihm über den root-Exploit eine Backdoor installiert hat. ;)
Oder der Browserexploit lädt im Hintergrund das Disk-Image, welches den root-Exploit ermöglicht. Geschickt programmiert wird auch die Fehlermeldung beim fehlgeschlagenen Mounten des Images unterdrückt, womit der arglose Benutzer hier ebenfalls nichts mitbekommen würde.

Es ist eigentlich auch nichts neues, dass das groesste Risiko vor dem Bildschirm sitzt. Wer doppel klickt (auch auf disc images), der sollte wissen was er tut.
Zum Vergrößern anklicken....

Im Prinzip richtig, aber manchmal lädt man u.U. ein DMG von einer eigentlich vertrauenswürdigen Seite, ohne zu ahnen, das diese u.U. gehackt worden ist und nun kaputte Images verteilt. Es soll ja vorkommen, dass man das der Website nicht unbedingt ansieht. ;)
 
Cathul schrieb:
Der root-Exploit ist also recht alt? Wieso hat Apple den dann noch nicht gefixt?
Zum Vergrößern anklicken....

Der Root-Exploit ist aktuell, die Browserlücke ist "alt", ob die Browserlücke behoben ist weiss ich nicht.
 
Sachen gibt's :faint:

Safari > Einstellungen > Allgemein > "Sichere" Dateien nach dem Laden öffnen (Automatisch) - deaktivieren!

PS: Wohl nicht um sonst ist das Wort "Sichere" in Anführungsstrichen.. :hehehe:
 
Zuletzt bearbeitet:
ProUser schrieb:
Sachen gibt's :faint:

Safari > Einstellungen > Allgemein > "Sichere" Dateien nach dem Laden öffnen (Automatisch) - deaktivieren!

PS: Wohl nicht um sonst ist das Wort "Sichere" in Anführungsstrichen.. :hehehe:
Zum Vergrößern anklicken....

Wollen wir mal nachschauen bei wieviel Promille der User dies abgestellt haben.

Und countdown, bis der Exploit gefixt ist.
 
Zuletzt bearbeitet von einem Moderator:
ich glaub bei OS X ist das publizieren von Viren per AGBs verboten, von daher droht uns also keinerlei Gefahr :)
 
Zuletzt bearbeitet:
Gefahren ignorieren oder totreden hilft auch, wird hier ja gern gemacht :).
 
  • Gefällt mir
Reaktionen: starbuckzero
SelonScience schrieb:
Wollen wir mal nachschauen bei wieviel Promille der User dies abgestellt haben.

Und countdown, bis der Exploit gefixt ist.
Zum Vergrößern anklicken....

Wenn mans abstellt, hat man quasi noch ne zweite Chance, selbst wenn man irgend etwas unsicheres geladen hat. Man hat dann immer noch die Wahl, öffnen oder nicht? Ist sowieso besser, mag "übermäßige" Automation nicht. Und wenn's gefixt ist, ist es kein Thema mehr - noch ist es das aber nicht. ;)
 
Genau, wir warten. Windows hat diese unsaegliche Autorun geschichte uebrigens auch, da muss auch immer wieder gefixt werden. Ist Autorun wirklich so viel bequemer, sodass es sich trotz aller Risiken lohnt? Ich denke nicht.
 
Zur Diskussion:
Evidence suggests first zombie Mac botnet is active - Ars Technica
iBotnet: Researchers find signs of zombie Macs | Zero Day | ZDNet.com
Not A Hat?Hit by an OS X exploit
 
Zuletzt bearbeitet von einem Moderator:
alexzero schrieb:
Ich empfehlen das automatische öffnen von Archive bei Safari derzeit zu deaktivieren und keine Diskimages mehr runterzuladen.
Zum Vergrößern anklicken....

Könnte schwer werden, da so ziemlich jedes Programm in einem dmg daherkommt.

Wie schaut das eigentlich mit Seiten wie macupdate ode versiontracker aus, werden deren Links geprüft (die hochgeladenen dmgs)?
 
detto schrieb:
Wie schaut das eigentlich mit Seiten wie macupdate ode versiontracker aus, werden deren Links geprüft (die hochgeladenen dmgs)?
Zum Vergrößern anklicken....

Davon ist auszugehen, das hilft nur nichts, wenn die Dateien hinterher über Sicherheitslücken auf dem DL-Server ausgetauscht werden - was auch bei großen Projekten / bekannten Sites durchaus vorkommt, siehe Debian, Gentoo, etc. Bei Wordpress gab es vor nicht all zu langer Zeit auch so einen Fall.
 
Zuletzt bearbeitet:
starbuckzero schrieb:
Davon ist auszugehen, das hilft nur nichts, wenn die Dateien hinterher über Sicherheitslücken auf dem DL-Server ausgetauscht werden - was auch bei großen Projekten / bekannten Sites durchaus vorkommt, siehe Debian, Gentoo, etc. Bei Wordpress gab es vor nicht all zu langer Zeit auch so einen Fall.
Zum Vergrößern anklicken....

verisontracker verlinkt zu den Files auf dem Seiten der Softwareprogrammierern. Und diese können jederzeit theoretisch etwas unterschieben. Ich hoffe jedoch, dass Verstiontracker nur mit vertrauenswürdigen Softwarprogrammierern zusammen arbeitet.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten