Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm

Es ist kein Bug, sondern ein Feature.
 
VXRedFR schrieb:
Die Meldung nicht richtig gelesen?
Es geht doch genau darum ein SHELL-Skript und das ist der Code von heise, als beliebige Anwendung, z.B. JPG oder PDF oder was auch immer zu tarnen.. :rolleyes:

Was ich hier unter den ApfelUsern aber wirklich nicht kapiere, merkt eigentlich keiner das das KEIN MailProblem UND KEIN Safari-Problem ist?
Das liegt viel tiefer im System, denn selbst wenn ich eine Datei irgendwo herunterlade, das reicht ja wenn es ein Bild oder ein PDF ist, welches ich von mir aus 2 Wochen auf der Platte lagere, bis ich diese ausführe.
Das System an sich hat da den Bug, es sollte eigentlich unterbunden werden und das schon von Anfang an, das ICH als ersteller eines JPGs, PDFs oder was auch immer, einem ANDEREM benutzer aufzwingen kann mit welchen Programm diese Datei ausgeführt wird!
Dann wäre das Problem naemlich kein Problem, wenn dies nur lokal verwaltet werden würde, und das sollte Apple doch wohl hinbekommen :rolleyes:

Und alle die dieses Problem verharmlosen, denke ich sind sich immer noch nicht bewusst, das sie selbst auch Opfer sein können, denn so leicht wie ihr euch das vorstellt ist sowas eben nicht zu erkennen, zumindest nicht praktikabel, weil ich nicht jedesmal erst über "Informationen anzeigen.." wissen will mit welcher App das File denn geöffnet wird oder ähnliches..
Zum Vergrößern anklicken....

...mein Reden.... is aber unabhängig von einem Shell-Script. Man kanns doch mit jedem Symbol machen, oder nicht?
 
juniorclub schrieb:
Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...

MfG, juniorclub.
Zum Vergrößern anklicken....

Das wäre dann Outlook-Niveau ;)

Es wird ein Symbol angezeigt, kein Bild.
 
juniorclub schrieb:
Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...
Zum Vergrößern anklicken....
Das "Bild" wird lediglich als Anhang angezeigt, aber nicht dargestellt. Somit kannst du schnell erkennen ob es sich um ein Bild handelt oder ein Skript. Es wird erst ausgeführt wenn dus anklickst.

edit: dacht schon ich wär zu langsam ;-)
 
juniorclub schrieb:
Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...

MfG, juniorclub.
Zum Vergrößern anklicken....
das script würde nur als jpeg icon dargestellt. ein echtes bild würde eine vorschau anzeigen mit dem inhalt des bildes (irgendwie logisch).
bei dieser vorschau werden die bilder nicht "Geöffnet", was bedeutet das das script nicht beim öffnen der email ausgeführt wird, sondern erst beim direkten draufklicken!
 
falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das „Bild“ ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
 

Anhänge

  • Bild 1.jpg
    Bild 1.jpg
    28,2 KB · Aufrufe: 178
tau schrieb:
falls es jemanden interessiert…
das hier zeigt Mail 1.3 unter 10.3.9
Das Bild ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
Zum Vergrößern anklicken....
rofl!! diese sicherheitsbrücke sollten sie in Mail 2 mal fix nachrüsten!
 
tau schrieb:
falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das Bild ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
Zum Vergrößern anklicken....

Hmmm.... scheint, daß es unter Panther die Sicherheitslücke noch nicht gab - war Tiger ein Rückschritt? :rolleyes:
 
Badener schrieb:
Hmmm.... scheint, daß es unter Panther die Sicherheitslücke noch nicht gab - war Tiger ein Rückschritt? :rolleyes:
Zum Vergrößern anklicken....
bezogen auf den screenshot oben würde ich das eher auf Mail schieben... Mail2 unter Tiger sagt ja nichtmal bescheid... Mail1 unter Panther anscheinend ja schon... das hat im moment noch nichts mit dem system an sich zutun!
 
tau schrieb:
falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das Bild ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
Zum Vergrößern anklicken....

Ja das sollte auch das normale Verhalten vom MacOS bei Ausführbaren Dateien sein. Wenn man aber in einem Shellscript das #!/bin/bash weglässt, dann erkennt Mail2 und Safari (wohl nur in Tieger) die Datei nicht mehr als ausführbar und gibt keine Warnung.

Widersinnigerweise kommt das Script trotz bzw. gerade wegen dieses Fehlers im Script aber ohne Nachfrage zur Ausführung.

Es ist also eigentlich ein echter Bug und kein Feature, dass nach hinten losgeht.

Siehe:

heise.de/newsticker/meldung/69854
 
Zuletzt bearbeitet von einem Moderator:
tau schrieb:
falls es jemanden interessiert…
das hier zeigt Mail 1.3 beim Doppelklick unter 10.3.9
Das „Bild“ ist nur als Anhang zu sehen, normalerweise sehe ich Bilder angezeigt.
Zum Vergrößern anklicken....
Aiaiaiaiaia...wieso werden sinvolle Programmfeatures eigentlich nicht einfach bei einer neueren Version von Mail behalten....
 
Ich weiss nicht, warum sich hier so viele so verrückt machen. Wer einfach wo drauf klickt, der ist wahrscheinlich so ein User, der das Terminal eh nie braucht. Daher kann man das ganz einfach abstellen:

Terminal öffnen
chmod o-x /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal

Für den obigen Befehl braucht man natürlich die entsprechenden Rechte -> Root!

Und dann: User als User ohne Adminrechte. Fertig.

Und wer es doch braucht, wird soviel Intelligenz in seinem Dings haben, was man bekanntlich Hirn nennt, dass er weiss, was er tut und nicht jeden Sch... einfach anklickt!

Gruss,

Manjo.
 
Etwas merkwürdig finde ich ja, dass sich das ganze nicht auf Mail beschränkt, mit Entourage hat man exakt das gleiche Phänomen - ok, ist ja auch ein MS Produkt ....
 
Manjo schrieb:
Und wer es doch braucht, wird soviel Intelligenz in seinem Dings haben, was man bekanntlich Hirn nennt, dass er weiss, was er tut und nicht jeden Sch... einfach anklickt!
Zum Vergrößern anklicken....

Wie du vielleicht - oder vielleicht auch nicht - mitbekommen hast, ist im Standard-Zustand bei OS X (zumindest in Safari) überhaupt kein "Anklicken jeden Scheißes" notwendig.

Und wie du vielleicht - oder vielleicht auch noch nicht weißt - dürfte die Mehrzahl der Mac-User schlicht keine Ahnung vom Terminal haben, geschweige denn dieses überhaupt schon mal benutzt haben.

Manjo schrieb:
Und dann: User als User ohne Adminrechte. Fertig.
Zum Vergrößern anklicken....

Und wie du anscheinend auch noch nicht mitbekommen hast, hat ein solches ausgeführtes Skript im Auslieferungszustand des OS auch ohne Admin-Rechte Zugriff auf die kompletten Daten (und kann diese auch löschen), die dem Nicht-Admin-User gehören...

Das "Problem" ist hochgradig problematisch, vor allem, da unter OS X im Normalfall keine Sicherheitssoftware installiert ist. Das ist keine "Verrückt-Mache", wie du es nennst.

Um es salopp zu sagen:
Nicht jeder ist so ein großer "Checker" wie du (oder die Diskutanten hier om Forum). Für diese Leute ist das eine enorme Sicherheitslücke - und ich denke, sie stellen die Mehrheit der Mac-User.

zabhod schrieb:
mit Entourage hat man exakt das gleiche Phänomen - ok, ist ja auch ein MS Produkt ....
Zum Vergrößern anklicken....
Hat nichts mit Microsoft zu tun. Ist schlicht eine Lücke in OS X...
 
Zuletzt bearbeitet:
performa schrieb:
Und wie du vielleicht - oder vielleicht auch noch nicht weißt - dürfte die Mehrzahl der Mac-User schlicht keine Ahnung vom Terminal haben, geschweige denn dieses überhaupt schon mal benutzt haben.

Um es salopp zu sagen:
Nicht jeder ist so ein großer "Checker" wie du (oder die Diskutanten hier om Forum). Und für diese Leute ist das eine enorme Sicherheitslücke.
Zum Vergrößern anklicken....

Zustimmend mit dem Kopf nick

performa schrieb:
Hat nichts mit Microsoft zu tun. Ist schlicht eine Lücke in OS X...
Zum Vergrößern anklicken....

Och schade, hätte man doch gleich wieder einen schönen Schuldigen gehabt :D
 
performa schrieb:
Und wie du anscheinend auch noch nicht mitbekommen hast, hat ein solches ausgeführtes Skript im Auslieferungszustand des OS auch ohne Admin-Rechte Zugriff auf die kompletten Daten (und kann diese auch löschen), die dem Nicht-Admin-User gehören...
Zum Vergrößern anklicken....
Wer's glaubt... Auf die eigenen Daten im Home - Ja, aber für den Rest ist das schlichtweg falsch. Wenngleich ich nicht verneinen möchte, dass man trotzdem mit 'rm -rf /*' als normaler User einen großen Schaden anrichten kann.
performa schrieb:
Das "Problem" ist hochgradig problematisch, vor allem, da unter OS X im Normalfall keine Sicherheitssoftware installiert ist. Das ist keine "Verrückt-Mache", wie du es nennst.
Zum Vergrößern anklicken....
Sicherheits-Software? Was ist das denn? Eine sichere Software? Die gibt es schlichtweg nicht. Es gibt keine Software ohne Fehler!
Damit dürfte der Run der Anti-Viren-Softwareschmieden auf den Mac-Markt wohl eröffnet sein. Herzlichen Glückwunsch all denen, die Ihren Mac mit Norton und Co vom Ferrari zum Fiat Panda machen.

Die Windoof-Welt lebt seit Jahren mit diesem hochgradigen Problem, wie Du es nennst. Und wie man sieht: sie lebt immer noch und erfreut sich fast ungebremster Beliebtheit - zumindest wenn man den Verbreitungsgrad einmal ansieht. Trotz lustiger Sekretärinnen, die entgegen aller Ratschläge und Warnungen der Administratoren, täglich virenbehaftete Mails bedenkenlos öffnen...

Also: diese Lücke wird sicherlich bald einen Stopfen bekommen. So wie es auch in allen möglichen Linux-Distributionen immer wieder Löcher gibt, wo nicht gleich ein solcher Aufschrei durch die Gemeinde geht.

Demnach lehnen wir uns bequem zurück, atmen tief durch und klicken zum nächsten Beitrag :cool:
 
Manjo schrieb:
Auf die eigenen Daten im Home - Ja, aber für den Rest ist das schlichtweg falsch.
Zum Vergrößern anklicken....
Äh... Kannst du nicht lesen?
Ich habe oben geschrieben: "Die kompletten Daten (klammer), die dem Nicht-Admin-User gehören"
Was ist daran falsch?

Kurz: Wenn das komplette Home-Verzeichnis löschbar ist, dann dürfte für die allermeisten User höchste Alarmstufe sein.

Ums mal zu verdeutlichen: Stell dir nur mal vor, dass jemand auf macuser.de, oder einer anderen gängigen Mac-affinen Seite, einige Hyperlinks geändert werden, die ein "nettes" bestimmtes Zip-Archiv. Das Ding wird automatisch von Safari geöffnet, und "Schwups", in Nullkommanichts läuft bei dutzenden oder hunderten Usern (die ihr System mit default-Einstellungen und allen Sicherheitsupdates betreiben!) ein nettes Shell-Skript, das fröhlich den Home-Ordner löscht.

Das latestpics-Archiv wurde auch in einschlägigen Mac-Foren als "interessante Screenshots" zum Download angeboten...
Es ist auch keineswegs so, als sei noch nie ein populäres Mac-Forum gehackt worden.
Entspannt zurücklehnen? :(

Wir können es gern ausprobieren, und so einen Exploit mal als "Leopard-Screenshots" hier im Forum posten...*

Manjo schrieb:
Sicherheits-Software? Was ist das denn?
Zum Vergrößern anklicken....
Dass damit Virenscanner, Firewall, Intrusion Detection etc. gemeint ist, bemerkst du, dachte ich...

Manjo schrieb:
Die Windoof-Welt lebt seit Jahren mit diesem hochgradigen Problem, wie Du es nennst. Und wie man sieht: sie lebt immer noch und erfreut sich fast ungebremster Beliebtheit
Zum Vergrößern anklicken....
Der Unterschied ist: Die meisten Windows-User haben ein mitgeliefertes Antivirus-Programm auf ihrem Rechner. Hier im Forum, und überhaupt unter Mac-Usern wird und wurde jedoch gängigerweise empfohlen: "Antivirus? Brauchst du nicht. Für den Mac gibt's keine Viren und ähnliches. OS X ist nämlich viel weniger angreifbar als Windows."

Man könnte sagen: Windows-Systeme und deren User sind viel besser vorbereitet. Und ähnlich sieht es auch unter Linux aus. Da sind in vielen Fällen kompetente Admins für die Systeme zuständig...

*würde ich nie tun, und ich fordere dazu auch explizit niemand auf.
 
Charles_Garage schrieb:
Hinter einer jpg-Datei kann sich ein Shell-Script verbergen, dass böse Dinge tut.
Mit nur einem Klick kann es zur Ausführung gebracht werden.

Das heißt: kein Vertrauen mehr in Dateien, deren Versand nicht abgesprochen war.

Solche Dateien nicht mehr mit einem Klick öffnen sindern besser mit Kontextmenü -> öffnen mit und dann Vorschau e.t.c auswählen. Damit sollte man sicher sein. (Denke ich)


heise.de/security/news/meldung/69894

Eine harmlose Demo gibts hier:

heise.de/security/dienste/emailcheck/

Edit: Und es ist noch ein Argument mehr nicht mit dem Admin-Konto herumzusurfen.
Zum Vergrößern anklicken....
Also ich markiere jpg-Dateien (und andere Bilddateien) nur und dann wird mir mittels "MilkyWay" eine Vorschau angezeigt. Sollte sich keine Vorschau öffnen, dann ist es auch kein Bild und fliegt in den Müll.
Gruss
der eMac_man
 
Zuletzt bearbeitet von einem Moderator:
Manjo schrieb:
Ich weiss nicht, warum sich hier so viele so verrückt machen. Wer einfach wo drauf klickt, der ist wahrscheinlich so ein User, der das Terminal eh nie braucht. Daher kann man das ganz einfach abstellen:

Terminal öffnen
chmod o-x /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal

Für den obigen Befehl braucht man natürlich die entsprechenden Rechte -> Root!

Gruss,

Manjo.
Zum Vergrößern anklicken....


Danke schön für den Tip! Da ich leider einer der hier detailliert beschriebenen Unkundigen bin: Gilt das nur für den Benutzer? Oder für alle Benutzer? Wie macht man das eventuell wieder rückgängig? (Ja, ich kenne nicht mal chmod.)
 
man chmod *fg*

nein ernst, chmod ändert die rechte an einer Datei. Mit chmod o+x (o steht für others, also alle anderen als eigentümer und root, x für execute) machst du das Ganze wieder rückgängig. Was auch deine Frage klärt nach den Benutzern. Aaaber .... ich würde dir da zur "Verschieben" Methode raten, weil wenn du es dochmal brauchst, dann ummelden usw das ist doch stressig ! :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten