Sicherheit unter 10.3.9 mit Whatsize ausgehebelt

[agro]

Durch Zufall bin ich heute auf eine Sicherheitslücke in Mac OS X 10.3.9 gestossen. Wenn ich die Ordner und Dateien anderer Benutzer öffnen will, brauche ich mich nicht mit Lapalien wie deren Passwörtern rumzuschlagen. Ich muss mir nur das Tool WhatSize herunterladen. Dann liegt der ganze Computer vor mir. Es gibt keine Grenzen mehr. Ich kann herumnavigieren wo ich will, kann jede Datei öffnen, egal wem sie vom System her zugeordnet ist und wer sie versucht hat, vor fremdem Zugriff zu schützen. WhatSize macht's möglich.
Bug oder Feature?

Gruß
agro

 

[Macianer4ever]

Durch Zufall bin ich heute auf eine Sicherheitslücke in Mac OS X 10.3.9 gestossen.....

Mit solchen Aussagen wäre ich vorsichtig...
Viele Grüße
Macianer4ever

 

[agro]

Mit solchen Aussagen wäre ich vorsichtig...
Viele Grüße
Macianer4ever

Oho! Dann begründe doch mal deine Warnung. Vielleicht kann ich das dann nachvollziehen.

Gruß
agro

 

[Macianer4ever]

Nein, sorry agro, ich wollte nichts gegen deine Feststellung sagen, nur hatte deine Aussage irgendwie so den typischen "Windows Neider" Klang, so á la "Hey, schau mal, der Apple hat da nen Fehler". Nimms net persönlich, nur diese Leute, dies hier auch manchmal gibt, find ich halt etwas seltsam und daher hab ichs geschrieben, weil man sich so net wirklich Freunde macht
Also, nimms bitte mit Humor....
Viele Grüße
Macianer4ever

 

[bmb1986]

agro: aber vielleicht an die Entwickler des Tools + apple weiterleiten.
Ich kenn das tool nicht, aber ich meine wenn es ne Sicherheitslücke aufdeckt sollte man es an die Jungs und Mädels in Cupertino weiterleiten...

 

[agro]

Nein, sorry agro, ich wollte nichts gegen deine Feststellung sagen, nur hatte deine Aussage irgendwie so den typischen "Windows Neider" Klang, so á la "Hey, schau mal, der Apple hat da nen Fehler". Nimms net persönlich, nur diese Leute, dies hier auch manchmal gibt, find ich halt etwas seltsam und daher hab ichs geschrieben, weil man sich so net wirklich Freunde macht
Also, nimms bitte mit Humor....
Viele Grüße
Macianer4ever

Ich und Windows! Das ist wie Feuer und Wasser.
Probier's doch einfach mal aus, dann könnt' man sehen, ob's nur bei mir so ist oder auch auf anderen Rechnern.

Gruß
agro

 

[Bluefake]

Wäre im Ernstfall wirklich eine Mail an Apple wert.

 

[ChristianMac]

Sicherheitslücke kann ich hier auch unter 10.4 bestätigen. Unglaublich.

 

[xlqr]

Durch Zufall bin ich heute auf eine Sicherheitslücke in Mac OS X 10.3.9 gestossen. Wenn ich die Ordner und Dateien anderer Benutzer öffnen will, brauche ich mich nicht mit Lapalien wie deren Passwörtern rumzuschlagen. Ich muss mir nur das Tool WhatSize herunterladen. Dann liegt der ganze Computer vor mir. Es gibt keine Grenzen mehr. Ich kann herumnavigieren wo ich will, kann jede Datei öffnen, egal wem sie vom System her zugeordnet ist und wer sie versucht hat, vor fremdem Zugriff zu schützen. WhatSize macht's möglich.
Bug oder Feature?

Gruß
agro

vermutungen (da ich es nicht habe):

ich schätze mal da haben die programmierer geschlampt (es sich zu einfach gemacht).
du hast doch sicher bei der installation dein pw angeben müssen? (falls nicht ist das nachfolgende obsolet und man sollte sich anfangen sorgen zu machen )
wenn es dann auf ein

sudo ls

aufsetzt, ist in der tat (wie auch im terminal) alles offen. wahrscheinlich hat es sich beim installieren in die sudoers eingetragen oder ähnlichen unfug angestellt.
ich glaub mal die warn mails wären nicht schlecht - aber ein osx bug ist es sicher nicht. mit einem applescript und ein paar shell befehlen ist so eine gui, die zugriff auf alle user ermöglicht, schnell zusammengebastelt.

eigentlich tut es ja genau das, was du wolltest - einen überblick (einblick) in den ganzen rechner mit löschmöglichkeit

vielleicht nochmal ganz allgemein: vorsicht mit apps aus dem internet, die nach deinem passwort fragen - denn du weist nie was sie tun

 

[Graundsiro]

Kann den Bug mit WhatSize 10.2.5 nicht bestätigen. Bei mir werden die User Ordner als leer dargestellt. Mein Systen scheint richtig zu funktionieren.

 

[xlqr]

ok, habs mir mal runtergeladen

mein erster post in diesem thread war wohl ein schnellschuss

man braucht tatsächlich kein passwort zum starten. wenn du es als admin startest, hat es die rechte der gruppe admin (als user die des users)

the application makes use of multithreading, low level UNIX file system APIs

was allerdings meine vermutung bestärkt, dass es nicht an osx liegt. ich denke auch es ist ein feature und kein bug; wie es das tool genau macht, müssten berufenere erklären (maceis bist du da??)

und mein nachsatz sollte lauten:
vielleicht nochmal ganz allgemein: vorsicht mit apps aus dem internet, wenn du als admin angemeldet bist - denn du weist nie was sie tun

 

[Lumimac]

Hmm das Tool macht genau was es soll.

Wen Du es als Admin laufen lässt zeigt es Dir den ganzen Recher (wass als Admin ja auch Sinn macht).

Beim Test mit einenm normalen User sehe ich nur meinen User Ordner, die anderen sind leer.

Denke genau so sollte das Programm funktionieren. Korrigiert mich wenn ich falsch liege.

 

[eiq]

Also wenn ich auf alles zugreifen möchte, dann schließe ich eine externe Festplatte an, boote von der und kann auch ohne Einschränkungen auf alles zugreifen. An die Dateien wird man wohl immer ran kommen, es sei denn, sie sind verschlüsselt.

Gruß, eiq

 

[xlqr]

Hmm das Tool macht genau was es soll.

Wen Du es als Admin laufen lässt zeigt es Dir den ganzen Recher (wass als Admin ja auch Sinn macht).

Beim Test mit einenm normalen User sehe ich nur meinen User Ordner, die anderen sind leer.

Denke genau so sollte das Programm funktionieren. Korrigiert mich wenn ich falsch liege.

seh ich genauso - interresant wär halt zu wissen was es genau macht ... alldieweil du im finder als admin nicht auf andere user verzeichnisse zugreifen kannst, ebensowenig wie mit der normalen admin shell.

 

[Danyji]

Also wenn ich auf alles zugreifen möchte, dann schließe ich eine externe Festplatte an, boote von der und kann auch ohne Einschränkungen auf alles zugreifen. An die Dateien wird man wohl immer ran kommen, es sei denn, sie sind verschlüsselt.

Gruß, eiq

Mein G4 auf der Arbeit ist gegen so was geschützt. Auch mit alt-Taste Startvolume wechseln, keine Chance.
Das geht übrigens mit dem Open Firmware Password

 

[eiq]

Mein G4 auf der Arbeit ist gegen so was geschützt. Auch mit alt-Taste Startvolume wechseln, keine Chance.
Das geht übrigens mit dem Open Firmware Password

Danke für den Tip!

 

[tau]

Hab jetzt grad erst den Thread gesehen.
Agro hat es hier zuerst gepostet:

https://www.macuser.de/forum/showthread.php?t=90541

Ich wiederhol mich hier doch mal:

Also, ich hab auch 10.3.9 und hab jetzt man WS 10.2.6 ausprobiert.
Ich komme nicht in die Unterordner in den usern, außer Public und Sites haben alle 0kb.

Und das egal ob als Admin oder user.

Sonst müßt WhatSize ja rootaccess haben, was definitiv nicht ohne Passwort geht.
Man „installiert“ ja What Size nicht, sondern zieht es aus dem Image, ein PW wird da nicht verlangt.



Irgendwas stimmt mit Deinen Zugriffsrechten nicht, das kann nicht sein.

Also ich kann das absolut nicht unterschreiben, tut mir leid.

 

[tau]

Hmm das Tool macht genau was es soll.

Wen Du es als Admin laufen lässt zeigt es Dir den ganzen Recher (wass als Admin ja auch Sinn macht).

Das ist so nicht richtig, der Admin hat keinen Einblick in die Unterordner der User, das kann nur der root.

 

[arbibor]

Hab's jetzt auch ausprobiert (Tiger):

WhatSize (10.2.4) zeigt mir für die anderen User auch nix an.

 

[wegus]

Das ist so nicht richtig, der Admin hat keinen Einblick in die Unterordner der User, das kann nur der root.

oder der jeweilige user selbst ändert die Rechte oder ein unbedachtes chmod eines wenig Terminal versierten users...

es gibt eine ganze Reihe von Möglichkeiten Zugriffrechte ungewollt falsch zu verteilen oder versehentlich zu öffnen. Da die Meinungen hier sehr widersprüchlich sind, tippe ich eher auf lockerere Rechtevergabe auf einigen Rechnern.