heise tickert : Nachlässige Installer können Sicherheit von Mac OS X schwächen

Dieses Thema im Forum "MacUser Bar" wurde erstellt von 2fast4thisworld, 08.04.2004.

  1. 2fast4thisworld

    2fast4thisworld Thread Starter MacUser Mitglied

    Mitglied seit:
    26.12.2003
    Beiträge:
    544
    Zustimmungen:
    2
    Hab gesucht aber nichts gefunden im Forum

    was haltet ihr davon ?

    Nachlässige Installer können Sicherheit von Mac OS X schwächen




    Anwender von Apples Unix-Betriebssystem Mac OS X haben die Diskussionen um Sicherheitslücken auf Windows-Seite bisher eher gelassen verfolgt. Doch die Sicherheit kann trügerisch sein. Viele Installationsprogramme, die in /Library/StartupItems/ ein so genanntes StartupItem einrichten, scheinen nämlich ein wenig nachlässig bei der Rechtevergabe zu sein.




    Ein StartupItem ist nichts weiter als ein Verzeichnis, in dem ein gleichnamiges Shell-Skript (oder ein anderes Programm) und einige Konfigurationsdateien liegen. Der System-Starter von Mac OS X durchsucht beim Systemstart alle Verzeichnisse in /Library/StartupItems/, ob sie den Strukturanforderungen genügen und führt, falls ja, den aktiven Teil aus -- mit root-Rechten. Das ist so vorgesehen und noch nichts Besonderes.


    Hat aber nun ein Installer die Rechte eines von ihm angelegten StartupItems so gewählt, dass nicht nur root respektive Mitglieder der Gruppe wheel, sondern auch die Angehörigen der Gruppe admin dort hinein schreiben dürfen, bildet dies eine Schwachstelle. Fast alle Mac-Anwender arbeiten mit dem Benutzerkonto, das Mac OS X bei der Installation anlegt, und das gehört zur Gruppe admin. Führt solch ein Benutzer ein Skript oder Programm aus, etwa bei einer Installation, so muss er nicht einmal sein Passwort eingeben, damit dieses ein StartupItem anlegen kann, das beim nächsten Systemstart mit root-Rechten machen kann, was es will. Bekommt ein gutgläubiger Anwender nun ein bösartiges Programm untergejubelt, sind der Software über diesen Mechanismus Tür und Tor geöffnet. Nicht nur deshalb sollte man nur Programme starten, die aus einer zuverlässigen Quelle stammen.


    Unter Mac OS X 10.3 besitzt das Festplatten-Dienstprogramm zwar eine Funktion namens "Volume-Zugriffsrechte reparieren" zur Korrektur fehlgeleiteter Rechte, diese berücksichtigt aber lediglich /Library/StartupItems/ selbst und nicht dessen Inhalt. Um auf Nummer Sicher zu gehen, kann man deshab in einem Terminal


    sudo chown -R root:wheel /Library/StartupItems/



    eingeben und diesen Befehl mit seinem Administratorpasswort bestätigen. Danach dürfen nur root und die Mitglieder der Gruppe wheel (und das ist standardmäßig nur root) in die StartupItems schreiben. Apple soll bereits am 24. März über das Problem informiert worden sein, bislang aber noch nicht darauf reagiert haben. Wer sich etwas näher mit diesem Sachverhalt beschäftigen möchte: Er wird zur Zeit in der Newsgroup de.comp.sys.mac.misc intensiv diskutiert.


    sollte man doch ernst nehmen oder ?
     
  2. blalalama

    blalalama MacUser Mitglied

    Mitglied seit:
    29.05.2003
    Beiträge:
    842
    Zustimmungen:
    1
    ujeah! warum postest du nicht den gesamten heise-newsticker seit 1998?

    drei lösungen für das problem:
    - nicht immer installieren, was einem über den weg läuft.
    - hoffen, dass die programme die man installiert dies beachten.
    - computer ausgeschaltet lassen, in den biergarten gehen und sich ordentlich eine ansaufen :D

    gruß
    lama
     
  3. Pink Floyd

    Pink Floyd MacUser Mitglied

    Mitglied seit:
    01.02.2004
    Beiträge:
    153
    Zustimmungen:
    0
    hallo

    fragt der installer dann das root password bei der instalation ab wenn ich den terminal befehl eingegeben habe oder merke ich davon nichts und es wird einfacvh nicht reingeschrieben?

    wie lautet der befehl um das ganze wieder rückgängig zu machen?
    cya pink
     
  4. SchaSche

    SchaSche MacUser Mitglied

    Mitglied seit:
    09.02.2003
    Beiträge:
    8.468
    Zustimmungen:
    88
     

    Super Idee! :D
     
  5. beo

    beo MacUser Mitglied

    Mitglied seit:
    03.02.2004
    Beiträge:
    237
    Zustimmungen:
    1
    Hoffe Du mal...
    Und danach solche Mails wie diese posten? "Welche" hast Du Dir denn angesoffen? Die Blonde oder die Brünette?

    Gruss,
    beo
     
  6. blalalama

    blalalama MacUser Mitglied

    Mitglied seit:
    29.05.2003
    Beiträge:
    842
    Zustimmungen:
    1
     

    uhhhhh, da hat jemand eine spitze zunge :D

    da war wohl mal wieder der <no_fun_mode> angeschaltet... aber spass beiseite: die hoffnung stirbt zuletzt :D

    @SchaSche: ich glaub wir verstehen uns :D wir sollten mal gemeinsam innen biergarten gehen...
     
  7. Mirzel

    Mirzel MacUser Mitglied

    Mitglied seit:
    25.01.2004
    Beiträge:
    737
    Zustimmungen:
    10
    &nbsp;

    - ich finde ja sehr interessant, wie in der Mac-Welt auf eine solche, normalerweise nur Windows-User betreffende Sicherheitslücken-Meldung reagiert wird:
    Abwiegeln,
    hoffen, und
    Stecker ziehen.

    Eigentlich die klassischen Reaktionen eines Windows-Benutzers, oder?
     
  8. beo

    beo MacUser Mitglied

    Mitglied seit:
    03.02.2004
    Beiträge:
    237
    Zustimmungen:
    1
    Das gefährliche ist ja eben, dass im Rahmen des Installationsvorgangs das Passwort abgefragt wird, welches gewohnheitsgemässig eingegeben wird...
    Beim nächsten Neustart könnten dann beliebige StartupItems mit root-Rechten ablaufen. Kriegt man aber nicht mit, wenn man im Biergarten sitzt...

    Indem Du erst einmal, wie vorgeschlagen, die Rechte für /Library/StartupItems/ korrigierst. Damit behebst Du Fehler, die Programme wie beispielsweise Timbuktu, an diesen Ordnern angestellt haben.

    Gruss,
    beo
     
  9. blalalama

    blalalama MacUser Mitglied

    Mitglied seit:
    29.05.2003
    Beiträge:
    842
    Zustimmungen:
    1
    &nbsp;

    nö....

    eigentlich die reaktion eines users, der neben windows auch noch mit solaris, hp-ux, solaris, os/390 und anderem kram zu tun hat...

    meines erachtens ist es so, dass ich eher bei meiner firmen-kiste (w2k) auf sicherheit achte.
    wie viele andere im forum hier bin ich mir sicher, dass es zum einen wesentlich einfacher ist einen virus/wurm/trojaner auf einem w2k system zu verteilen, als auf einem mac-rechner unter osx.

    gruß
    lama
     
  10. beo

    beo MacUser Mitglied

    Mitglied seit:
    03.02.2004
    Beiträge:
    237
    Zustimmungen:
    1
    "wesentlich einfacher" heisst nicht "unmöglich".

    Ich bin beeindruckt.

    Hoffe aber wirklich, dass Du wirklich nur "User" und nicht "Administrator" dieser Maschinen bist.
    Weil es bei Deiner Einstellung nur eine Frage der Zeit ist, wann der SuperGAU eintritt.

    Gruss,
    beo