Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm

[ostfriese]

das stimmt
aber die hauptgefährung betrifft so oder so das homeverzeichnis
was das verschieben angeht so ist das für mich zur zeit die sinnvollste lsg
ich werde nicht anfangen irgendwie mit der shell rumzubasteln und eine .profile datei (ich weiss noch nicht mal was das ist) anzulegen
und es gibt ne menge apple user die noch weniger ahnung haben als ich
(darum sind die ja auch auf apple umgestiegen)
apple soll einfach schnellst möglich das problem beheben

 

[Lua]

j Wie ist das denn beim installieren? muss ich dann nur mein kennwort eingeben, oder muss ich in mein admin-Konto wechseln?

Du wirst nach deinem Admin-Namen und dem Kennwort gefragt. Lediglich Systemupdates mittels der Software-Update Funktion verlangen einen eingelogten Administrator. Ist jedenfalls bei mir bis dato so gewesen.

 

[Friek]

@Lua: Danke!
@ ostfriese & performa: da hilft dann wohl nur backup des homefolders! (mach ich z.B. sowieso immer)

 

[SchaubFD]

Es gibt Programme wie "Yasu" die das Terminal brauchen. Nur stelle ich mir gerade die Frage warum ein Skript "Terminal.app" nutzen muß, wo es doch "sh" gibt. Mich regt das Ganze langsam auf.

Bitte für mich nochmal im Klartext, warum ist z.B. das Heise Bild - könnte ja auch ein Video sein - ausführbar? Es ist doch wirklich nur ein Skript enthalten oder habe ich etwas übersehen oder nicht gesehen. Kurz: Wie geht das ? und warum hat eine Textdatei Ausführrechte?

 

[wegus]

Weil in diesem Fall nicht nur die Datei übertragen wird, sondern auch der zu der Datei gehörende Kontext aus dem Dateisystem!
Da steht dann drinn "ist ausführbar", "Standardprogramm ist Terminal.app", "Name Test.jpg".

Man muß eine Textdatei ja nicht Text.txt nennen, ist doch ein Leichtes sie Text.jpg zu nennen!

 

[ostfriese]

@Lua: Danke!
@ ostfriese & performa: da hilft dann wohl nur backup des homefolders! (mach ich z.B. sowieso immer)

naja - das mache ich ja auch
aber dann kann man ja auch bei einem windows system so argumentieren
"mach doch einfach backup"
sowas muss von vornerein ausgeschlossen werden

 

[performa]

Nur stelle ich mir gerade die Frage warum ein Skript "Terminal.app" nutzen muß

...weil es von Apple durchaus gewollt ist, dass man Skripte beispielsweise einfach per Drag&Drop auf Terminal.app startet...?
...weil Apple eine Shell mal standardmäßig als Terminal.app anbietet? (Durchaus sinnvollerweise)

Bitte für mich nochmal im Klartext, warum ist z.B. das Heise Bild - könnte ja auch ein Video sein - ausführbar?

Es ist nicht ausführbar. Es ist lediglich ein Skript. Eine Textdatei. Mehr nicht.
Die braucht dementsprechend auch keine Ausführrechte. Sie wird vom Terminal ja lediglich "eingelesen" und das Skript ausgeführt. So wie auch ein heruntergeladenes PDF von der Vorschau.

Jeder Datei auf dem Mac kann man einzeln zuweisen, mit welchem Programm sie zu öffnen ist. Das geht - anders als in Windows (afaik, jedenfalls früher war es so, dass Windows da immer auf die Dateiendung schielte) ganz unabhängig vom Dateinamen. Ist beim Mac OS schon eine ziemlich alte Errungenschaft - und irgendwie auch sinnvoll, da man nicht jede Datei eines Typs mitdemselbem Programm öffnen will. (i.e. manche WAV-Datei lieber mit dem Audio-Editor öffnen mag, andere mit iTunes).

Verwendet Apple dafür eigentlich noch die Ressource Forks?

 

[Friek]

@ Ostfriese: ja klar mich nervt das auch! sollte kein argument sein, sondern eher die einzige lösung, um seine daten vor dem verlust zu schützen im mom.

 

[SchaubFD]

Weil in diesem Fall nicht nur die Datei übertragen wird, sondern auch der zu der Datei gehörende Kontext aus dem Dateisystem!
Da steht dann drinn "ist ausführbar", "Standardprogramm ist Terminal.app", "Name Test.jpg".

Man muß eine Textdatei ja nicht Text.txt nennen, ist doch ein Leichtes sie Text.jpg zu nennen!

Wo sehe ich das oder wie mache ich das sichtbar? Damit ich nicht unwissend in diesem Fall bleibe!

 

[performa]

Wo sehe ich das oder wie mache ich das sichtbar? Damit ich nicht unwissend in diesem Fall bleibe!

Mit Rechtsklick - Informationen bzw. Befehl-I auf die markierte Datei kannst du dir anschauen, mit welchem Programm sie (standardmäßig) geöffnet werden wird - im Punkt "Öffnen mit".

Du kannst sie auch "von Hand" einfach auf das Vorschau-Icon im Dock ziehen, um sie mit Vorschau zu öffnen. Im Falle eine Skriptes wird sich Vorschau mit einer Fehlermeldung beschweren.

 

[pique]

Ich kann das ganze nicht verstehen. Warum wird soetwas jetzt als Sicherheitsrisiko angeprangert? Solche Möglichkeiten gab es doch schon immer, auf jedem System.
Einzig und allein durch diese Panikmache, werden jetzt irgendwelche Pisa-Opfer zu
Icon-Tauschern...

 

[performa]

Ich kann das ganze nicht verstehen. Warum wird soetwas jetzt als Sicherheitsrisiko angeprangert? Solche Möglichkeiten gab es doch schon immer, auf jedem System.

Rechner auspacken, im Internet surfen, auf einen "falschen" Link klicken, und alle User-Daten werden gelöscht?
Ein (vermeintliches) JPG-Bild per Doppelklick öffnen, und der Home-Ordner wird gelöscht?

Gab's das schon immer, und auf jedem System?
Aber nur keine Panik... kopfkratz

 

[polarity]

defekter Link

 

[sheep]

Ich habe gerade eine interessante Entdeckung gemacht:

Das Script ist, wenn man es mit Thunderbird öffnet bzw. abspeichert, nicht ausführbar (es passiert also zunächst nichts). Wenn man es dann auf dem Desktop hat und doppelklickt passiert - nix.

Es muss also definitiv ausführbar sein, damit es sich im Terminal öffnen kann, obwohl das "Öffnen mit"-Attribut auf Terminal steht. Wieso das aus Mail heraus aufgeht, ist mir allerdings unklar, geht die Ausführberechtigung vielleicht bei Thunderbird verloren (was gut wäre, so muss das sein und nicht anders), war also ursprünglich vorhanden oder tut Mail seltsame Dinge?

 

[Orion7]

das script würde nur als jpeg icon dargestellt. ein echtes bild würde eine vorschau anzeigen mit dem inhalt des bildes (irgendwie logisch).

Bei PDF Anhängen ist es so, dass manche innerhalb von Mail angezeigt werden, manche nicht. Habe bisher nie Bedenken gehabt einen PDF-Anhang mit Doppelblick zu öffnen. Das Heise Beispiel ließe sich ja auch als PDF tarnen.
Da Mail unter 10.3.9 anscheinend sogar das shell script als ausführbare Datei erkennt, kann man doch wohl mit einem Fix von Apple rechnen. Oder ?

 

[tau]

haa-ha

Der polarity. Lange nicht gesehen.

Das Script ist, wenn man es mit Thunderbird öffnet bzw. abspeichert, nicht ausführbar (es passiert also zunächst nichts). Wenn man es dann auf dem Desktop hat und doppelklickt passiert - nix.

hier nochmal 10.3.9: es kommt die Warnung, beibt aber vom Scheibtisch aus ausführbar.

Das mit Thunderbird ist interessant.

 

[lundehundt]

Es muss also definitiv ausführbar sein, damit es sich im Terminal öffnen kann, obwohl das "Öffnen mit"-Attribut auf Terminal steht. Wieso das aus Mail heraus aufgeht, ist mir allerdings unklar, geht die Ausführberechtigung vielleicht bei Thunderbird verloren (was gut wäre, so muss das sein und nicht anders), war also ursprünglich vorhanden oder tut Mail seltsame Dinge?

Im Gegensatz zu mail wertet Thunderbird das Appel Typische MIME Format AppleDouble nicht aus.

 

[VXRedFR]

Hi!

ist zwar noch kein Fix von Apple, aber schaut euch mal an, was ich auf VersionTracker grade gefunden habe:

Paranoid Android
A new vulnerability in the way Mac OS X handles strong document bindings can lead to documents opening in a different application when being double clicked. This can allow an arbitrary execution of code. Paranoid Android has been updated to address this new vulnerability.

Das Teil ist Freeware und hat gute Bewertungen bekommen. Ich konnte es leider noch nicht testen, aber scheint der Beschreibung nach und auch der Comments dort genau das richtige zu sein

Wenn das schon jemand kennt oder ausprobiert, bitte mal ne Info geben

 

[MLG76]

Bei mir werden in Mail Bilder gleich in der Nachricht angezeigt. Heißt das, dass ein Skript dann automatisch ausgeführt wird? Oder seh ich dann einfach nur ein Bild als Anhang (das Skript) und es wird mir nicht gleich in der Nachricht angezeigt (weil es eben kein Bild ist)? Kann auf die Schnelle auch nichts in den Einstellungen finden, dass das automatische Anzeigen von Bilddateien unterbindet...

MfG, juniorclub.

jau!

aber mach mal im terminal den hier:

defaults write com.apple.mail PreferPlainText -bool TRUE

danach ist ruhe mit dem automatischen anzeigen von bildern und html-mails werden auch nicht mehr als html dargestellt. ;-)

mache das bei mir immer gleich nach der installation... eben weil html-mail eh blöd ist.

 

[SchaubFD]

Hinweis:

Es gibt ein Programm namens "Paranoid Android 1.3" welches die Ausführung solcher Skripte erstmal auf einfachem Wege blockiert.