L
Loki M
unregistriert
- Dabei seit
- 07.02.2005
- Beiträge
- 3.507
- Reaktionspunkte
- 1.035
Es ist kein Bug, sondern ein Feature.
Folgen Sie dem Video unten, um zu sehen, wie Sie unsere Website als Icon auf Ihrem Homescreen erstellen.
Anmerkung: This feature may not be available in some browsers.
VXRedFR schrieb:Die Meldung nicht richtig gelesen?
Es geht doch genau darum ein SHELL-Skript und das ist der Code von heise, als beliebige Anwendung, z.B. JPG oder PDF oder was auch immer zu tarnen..
Was ich hier unter den ApfelUsern aber wirklich nicht kapiere, merkt eigentlich keiner das das KEIN MailProblem UND KEIN Safari-Problem ist?
Das liegt viel tiefer im System, denn selbst wenn ich eine Datei irgendwo herunterlade, das reicht ja wenn es ein Bild oder ein PDF ist, welches ich von mir aus 2 Wochen auf der Platte lagere, bis ich diese ausführe.
Das System an sich hat da den Bug, es sollte eigentlich unterbunden werden und das schon von Anfang an, das ICH als ersteller eines JPGs, PDFs oder was auch immer, einem ANDEREM benutzer aufzwingen kann mit welchen Programm diese Datei ausgeführt wird!
Dann wäre das Problem naemlich kein Problem, wenn dies nur lokal verwaltet werden würde, und das sollte Apple doch wohl hinbekommen
Und alle die dieses Problem verharmlosen, denke ich sind sich immer noch nicht bewusst, das sie selbst auch Opfer sein können, denn so leicht wie ihr euch das vorstellt ist sowas eben nicht zu erkennen, zumindest nicht praktikabel, weil ich nicht jedesmal erst über "Informationen anzeigen.." wissen will mit welcher App das File denn geöffnet wird oder ähnliches..
juniorclub schrieb:Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...
MfG, juniorclub.
Das "Bild" wird lediglich als Anhang angezeigt, aber nicht dargestellt. Somit kannst du schnell erkennen ob es sich um ein Bild handelt oder ein Skript. Es wird erst ausgeführt wenn dus anklickst.juniorclub schrieb:Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...
das script würde nur als jpeg icon dargestellt. ein echtes bild würde eine vorschau anzeigen mit dem inhalt des bildes (irgendwie logisch).juniorclub schrieb:Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...
MfG, juniorclub.
rofl!! diese sicherheitsbrücke sollten sie in Mail 2 mal fix nachrüsten!tau schrieb:falls es jemanden interessiert…
das hier zeigt Mail 1.3 unter 10.3.9
Das Bild ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
tau schrieb:falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das Bild ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
bezogen auf den screenshot oben würde ich das eher auf Mail schieben... Mail2 unter Tiger sagt ja nichtmal bescheid... Mail1 unter Panther anscheinend ja schon... das hat im moment noch nichts mit dem system an sich zutun!Badener schrieb:Hmmm.... scheint, daß es unter Panther die Sicherheitslücke noch nicht gab - war Tiger ein Rückschritt?
tau schrieb:falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das Bild ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
Aiaiaiaiaia...wieso werden sinvolle Programmfeatures eigentlich nicht einfach bei einer neueren Version von Mail behalten....tau schrieb:falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das „Bild“ ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
Manjo schrieb:Und wer es doch braucht, wird soviel Intelligenz in seinem Dings haben, was man bekanntlich Hirn nennt, dass er weiss, was er tut und nicht jeden Sch... einfach anklickt!
Manjo schrieb:Und dann: User als User ohne Adminrechte. Fertig.
Hat nichts mit Microsoft zu tun. Ist schlicht eine Lücke in OS X...zabhod schrieb:mit Entourage hat man exakt das gleiche Phänomen - ok, ist ja auch ein MS Produkt ....
performa schrieb:Und wie du vielleicht - oder vielleicht auch noch nicht weißt - dürfte die Mehrzahl der Mac-User schlicht keine Ahnung vom Terminal haben, geschweige denn dieses überhaupt schon mal benutzt haben.
Um es salopp zu sagen:
Nicht jeder ist so ein großer "Checker" wie du (oder die Diskutanten hier om Forum). Und für diese Leute ist das eine enorme Sicherheitslücke.
performa schrieb:Hat nichts mit Microsoft zu tun. Ist schlicht eine Lücke in OS X...
Wer's glaubt... Auf die eigenen Daten im Home - Ja, aber für den Rest ist das schlichtweg falsch. Wenngleich ich nicht verneinen möchte, dass man trotzdem mit 'rm -rf /*' als normaler User einen großen Schaden anrichten kann.performa schrieb:Und wie du anscheinend auch noch nicht mitbekommen hast, hat ein solches ausgeführtes Skript im Auslieferungszustand des OS auch ohne Admin-Rechte Zugriff auf die kompletten Daten (und kann diese auch löschen), die dem Nicht-Admin-User gehören...
Sicherheits-Software? Was ist das denn? Eine sichere Software? Die gibt es schlichtweg nicht. Es gibt keine Software ohne Fehler!performa schrieb:Das "Problem" ist hochgradig problematisch, vor allem, da unter OS X im Normalfall keine Sicherheitssoftware installiert ist. Das ist keine "Verrückt-Mache", wie du es nennst.
Äh... Kannst du nicht lesen?Manjo schrieb:Auf die eigenen Daten im Home - Ja, aber für den Rest ist das schlichtweg falsch.
Dass damit Virenscanner, Firewall, Intrusion Detection etc. gemeint ist, bemerkst du, dachte ich...Manjo schrieb:Sicherheits-Software? Was ist das denn?
Der Unterschied ist: Die meisten Windows-User haben ein mitgeliefertes Antivirus-Programm auf ihrem Rechner. Hier im Forum, und überhaupt unter Mac-Usern wird und wurde jedoch gängigerweise empfohlen: "Antivirus? Brauchst du nicht. Für den Mac gibt's keine Viren und ähnliches. OS X ist nämlich viel weniger angreifbar als Windows."Manjo schrieb:Die Windoof-Welt lebt seit Jahren mit diesem hochgradigen Problem, wie Du es nennst. Und wie man sieht: sie lebt immer noch und erfreut sich fast ungebremster Beliebtheit
Also ich markiere jpg-Dateien (und andere Bilddateien) nur und dann wird mir mittels "MilkyWay" eine Vorschau angezeigt. Sollte sich keine Vorschau öffnen, dann ist es auch kein Bild und fliegt in den Müll.Charles_Garage schrieb:Hinter einer jpg-Datei kann sich ein Shell-Script verbergen, dass böse Dinge tut.
Mit nur einem Klick kann es zur Ausführung gebracht werden.
Das heißt: kein Vertrauen mehr in Dateien, deren Versand nicht abgesprochen war.
Solche Dateien nicht mehr mit einem Klick öffnen sindern besser mit Kontextmenü -> öffnen mit und dann Vorschau e.t.c auswählen. Damit sollte man sicher sein. (Denke ich)
heise.de/security/news/meldung/69894
Eine harmlose Demo gibts hier:
heise.de/security/dienste/emailcheck/
Edit: Und es ist noch ein Argument mehr nicht mit dem Admin-Konto herumzusurfen.
Manjo schrieb:Ich weiss nicht, warum sich hier so viele so verrückt machen. Wer einfach wo drauf klickt, der ist wahrscheinlich so ein User, der das Terminal eh nie braucht. Daher kann man das ganz einfach abstellen:
Terminal öffnen
chmod o-x /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal
Für den obigen Befehl braucht man natürlich die entsprechenden Rechte -> Root!
Gruss,
Manjo.