Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm

[muellermanfred]

und dann?

Was ist, wenn Viren auftauchen, die in der Lage sind, das Terminal zu finden?

Manfred

 

[tk69]

Verstehe überhaupt nicht, was Mail damit zu tun hat, wenn man eine beliebiege Endung im Namen vergeben kann und somit das Symbol "fälschen" kann. Das ist doch der Knackpunkt, was ich auch nicht gerade gut finde, dass das so einfach geht. Müsste dennoch gekennzeichnet sein, dass es eben kein Bild ist.

 

[Ischi]

Das Terminal unterscheidet sehr wohl zwischen Standart und und Admin User! Zb kann nur ein Admin sich überhaupt als root anmelden, oder befehle mit sudo ausführen. Der Standart User darf im Terminal genau das gleiche wie auch sonst nämlich nur seine eigenen Dateinen verändern, für alles was darüber hinaus geht muss er Admin sein, und als Admin kann er dann sich sogar noch root machen.
MFG

PS hab ich gemerkt als ich das erste mal meine locate database updaten wollte…

 

[Rupp]

Moin.

Was mich ein wenig verstimmt, ist, dass ich ausser der eigenen Intelligenz wenig Hilfsmittel habe, um das abzustellen. Das Script wird selbst dann ausgeführt, wenn ich meinen Standardaccount in einen verwalteten Account ändere und die verwendung des Terminals untersage - DAS ist ärgerlich!

Manfred

das beunruhigt mich allerdings auch...
ich werd mir das DemoSkript mal schicken lassen und sehen wie ich den schmarrn unterbinden kann...
btw: ihr könnt bilder, die euch zugeschickt wurden auch einfach mal in TextEdit reinziehen... wenns ein echtes bild ist werdet ihr kryptischen code finden... bei einem shellscript müsste der inhalt klar lesbar sein...

 

[Badener]

BTW: Terminal aus /Programme/Dienstprogramme in ein anderes Verzeichnis zu schieben soll laut 'ct helfen.

Dann spinnt OS X beim nächsten Update aber wieder rum, weil die Programme nicht da liegen, wo sie laut Apple liegen sollen.

Man kann zwar das Terminal dann wieder zurückschieben, updaten und wieder verschieben.... aber das kann ja auch keine Lösung sein

 

[Rupp]

1. habe gerade was entdeckt! wenn ihr bilder per mail bekommt, einfach mal auf "Diashow" drücken. da werden echte bilder angezeigt, das skript jedoch wird nicht ausgeführt!!!

2. ebenso entdeckt: Heise.jpg mit TextEdit geöffnet:

/bin/ls -al
echo
echo
echo "heise Security: Sie sind verwundbar."
echo
echo

steht da drin... da erkennt sogar ein oberDAU das das kein bild ist!!

3. Auf das bild gehen, Apfel+I drücken und schauen ob die datei mit dem terminal geöffnet werden soll... wenn das der fall ist, ab in den Papierkorb!

 

[Badener]

Zb kann nur ein Admin sich überhaupt als root anmelden, oder befehle mit sudo ausführen.

login <adminname>
und paßwort
Schon ist man Admin (das pw bekommt man auch raus, wenn man die Mail doer den Wurm entsprechend gestaltet, zur Not per Abfrage )

login root
gleiches Paßwort wie beim Admin
Schon ist man auch aus der Benutzerebene root.....

Der Standart User darf im Terminal genau das gleiche wie auch sonst nämlich nur seine eigenen Dateinen verändern, für alles was darüber hinaus geht muss er Admin sein, und als Admin kann er dann sich sogar noch root machen.

Das Betriebssystem ist mir schnurzegal - das ist gleich wieder aufgespielt. Aber meine Userdaten, Dokumente usw..... die kann man sehr wohl übers Terminal löschen, AFAIK auch ohne Paßwort... und DIE sind wichtig!

 

[acid]

Ok, und du öffnest jetzt alle Bilder nurnoch mit Textedit? Hmm, sag mir bescheid wenn du so weit bist und den Code "visualisieren" kannst

Mich würde mal interessieren, was Apple dazu sagt und wann ein Patch erscheint. (Wartend auf die Uhr schau...)

 

[Rupp]

login <adminname>
und paßwort
Schon ist man Admin (das pw bekommt man auch raus, wenn man die Mail doer den Wurm entsprechend gestaltet, zur Not per Abfrage )

gabs da nicht auch mal ein rootkit, was durch die Option: "Zugriff für Hilfsgeräte aktivieren" zugang zum root bekommen hatte (ohne passwortabfrage)?!?
beides kombiniert wäre eine tödliche sache...

 

[Badener]

2. ebenso entdeckt: Heise.jpg mit TextEdit geöffnet:

/bin/ls -al
echo
echo
echo "heise Security: Sie sind verwundbar."
echo
echo

steht da drin... da erkennt sogar ein oberDAU das das kein bild ist!!

Wieviele User wissen nicht mal, für was TextEdit ist?
Wieviele User kennen Unix-Befehle, auch wenn es nur einfache sind?

Der Vorteil vom Mac ist doch, einschalten und arbeiten ohne sich Gedanken über die Sicherheit und Administration per Kommandozeile oder sonstigem machen zu müssen.

Da hab ich echt kein Bock drauf, EMail-Anhänge erstmal per TextEdit öffnen und auswerten zu müssen....

 

[muellermanfred]

ihr habt probleme ...

Was mich noch mehr nervt:

Bisher war eins meiner besten Argumente gegenüber der Windows-beherrschetn IT immer: Unsere Macs sind sicher ...

Jetzt werden die uns noch mehr auf die Pelle rücken, um unsere Macs gegen PCs auszutauschen - ich krieg Pickel!

Manfred

 

[Rupp]

Wieviele User wissen nicht mal, für was TextEdit ist?
Wieviele User kennen Unix-Befehle, auch wenn es nur einfache sind?

Der Vorteil vom Mac ist doch, einschalten und arbeiten ohne sich Gedanken über die Sicherheit und Administration per Kommandozeile oder sonstigem machen zu müssen.

Da hab ich echt kein Bock drauf, EMail-Anhänge erstmal per TextEdit öffnen und auswerten zu müssen....

kann ich verstehen, geht mir ja genauso... aber willst du lieber irgendwann deine wichtigen userdaten verlieren? also ich mach mir bei sowas lieber etwas mehr arbeit und geh auf nummer sicher!

 

[tk69]

Scripte hin oder her... Das einfache Umbenennen und Zuordnen von anderen Programmen ist das Übel. Wenn das nicht wär, könnte man einen Script oder sonst was sofort erkennen!!!

 

[Charles_Garage]

Was ist, wenn Viren auftauchen, die in der Lage sind, das Terminal zu finden?

Manfred

Dafür müssten sie erstmal einen Befehl ausführen können. Aber wie ohne Terminal?

Mhh, wie ist denn das mit Apple-Script-Dateien?

 

[Badener]

kann ich verstehen, geht mir ja genauso... aber willst du lieber irgendwann deine wichtigen userdaten verlieren? also ich mach mir bei sowas lieber etwas mehr arbeit und geh auf nummer sicher!

Wenn DU das KANNST, dann ist das ja in Ordnung. Ich werde das in Zukunft auch so handhaben.

Aber wieviele Macuser können das? Und wieviele möchten sich mit sowas überhaupt beschäftigen? Da kann ich mir ja gleich ne Dose kaufen

 

[Fabi]

Bin grad ein bissl faul zum suchen, deshalb eine kleine Frage zwischenrein
Bin zurzeit immer als Admin unterwegs. Wenn ich diesen jetzt in einen User-Account umwandle (abmelden -> als anderer Admin anmelden -> meinen Account umstellen), düfte es keine Probleme geben, oder?

edit:
hat sich eledigt (habs ausprobiert, funktioniert) ;-)

 

[VXRedFR]

2. ebenso entdeckt: Heise.jpg mit TextEdit geöffnet:

/bin/ls -al
echo
echo
echo "heise Security: Sie sind verwundbar."
echo
echo

steht da drin... da erkennt sogar ein oberDAU das das kein bild ist!!

Die Meldung nicht richtig gelesen?
Es geht doch genau darum ein SHELL-Skript und das ist der Code von heise, als beliebige Anwendung, z.B. JPG oder PDF oder was auch immer zu tarnen..

Was ich hier unter den ApfelUsern aber wirklich nicht kapiere, merkt eigentlich keiner das das KEIN MailProblem UND KEIN Safari-Problem ist?
Das liegt viel tiefer im System, denn selbst wenn ich eine Datei irgendwo herunterlade, das reicht ja wenn es ein Bild oder ein PDF ist, welches ich von mir aus 2 Wochen auf der Platte lagere, bis ich diese ausführe.
Das System an sich hat da den Bug, es sollte eigentlich unterbunden werden und das schon von Anfang an, das ICH als ersteller eines JPGs, PDFs oder was auch immer, einem ANDEREM benutzer aufzwingen kann mit welchen Programm diese Datei ausgeführt wird!
Dann wäre das Problem naemlich kein Problem, wenn dies nur lokal verwaltet werden würde, und das sollte Apple doch wohl hinbekommen

Und alle die dieses Problem verharmlosen, denke ich sind sich immer noch nicht bewusst, das sie selbst auch Opfer sein können, denn so leicht wie ihr euch das vorstellt ist sowas eben nicht zu erkennen, zumindest nicht praktikabel, weil ich nicht jedesmal erst über "Informationen anzeigen.." wissen will mit welcher App das File denn geöffnet wird oder ähnliches..

 

[Ischi]

Dann leg deine Daten in einem Odner ab aufden du nur als Admin zugreifen darfst, oder irgendein sonstwas User für den man aber in jedemfalls das Passwort braucht! Schon sollte deinen Daten halbwegs sicher sein.
Sicherlich kann man den Adminnamen rausfinden und sich dann über den Umweg als root einloggen das geht immer klar, sonst könnte man ja keine Benutzer wechseln. Aber es ist auf jedenfall noch mal en Umweg der es doch irgendwie erschwert. Auch gestaltet sich eine Suche nach Dateien als nicht Admin schwieriger (und ist somit auch in einem Script schwieriger).
Von deinen Eigenen Dateien solltest du sowieso stehts eine Sicherheits Kopie haben wenn sich wirklich wichtig sind.
MFG

 

[Charles_Garage]

Scripte hin oder her... Das einfache Umbenennen und Zuordnen von anderen Programmen ist das Übel. Wenn das nicht wär, könnte man einen Script oder sonst was sofort erkennen!!!

Es müsste eben abgestellt werden, dass die mitgelieferte Ressourcen-Datei interpretiert wird. Es sollten nur die Einstellungen auf dem lokalen Mac gelten.

Das sollte Apple also schleunigst so ändern. Allerdings las ich irgendwo, dass Apple das selbst macht mit PDF-Dateien, die gar keine sind sondern Skripte, die die PDF-Datei in der jeweiligen Landessprache laden und öffnen.

 

[Junior-c]

Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...

MfG, juniorclub.