heise tickert : Nachlässige Installer können Sicherheit von Mac OS X schwächen

2fast4thisworld

Aktives Mitglied
Thread Starter
Dabei seit
26.12.2003
Beiträge
550
Reaktionspunkte
2
Hab gesucht aber nichts gefunden im Forum

was haltet ihr davon ?

Nachlässige Installer können Sicherheit von Mac OS X schwächen




Anwender von Apples Unix-Betriebssystem Mac OS X haben die Diskussionen um Sicherheitslücken auf Windows-Seite bisher eher gelassen verfolgt. Doch die Sicherheit kann trügerisch sein. Viele Installationsprogramme, die in /Library/StartupItems/ ein so genanntes StartupItem einrichten, scheinen nämlich ein wenig nachlässig bei der Rechtevergabe zu sein.




Ein StartupItem ist nichts weiter als ein Verzeichnis, in dem ein gleichnamiges Shell-Skript (oder ein anderes Programm) und einige Konfigurationsdateien liegen. Der System-Starter von Mac OS X durchsucht beim Systemstart alle Verzeichnisse in /Library/StartupItems/, ob sie den Strukturanforderungen genügen und führt, falls ja, den aktiven Teil aus -- mit root-Rechten. Das ist so vorgesehen und noch nichts Besonderes.


Hat aber nun ein Installer die Rechte eines von ihm angelegten StartupItems so gewählt, dass nicht nur root respektive Mitglieder der Gruppe wheel, sondern auch die Angehörigen der Gruppe admin dort hinein schreiben dürfen, bildet dies eine Schwachstelle. Fast alle Mac-Anwender arbeiten mit dem Benutzerkonto, das Mac OS X bei der Installation anlegt, und das gehört zur Gruppe admin. Führt solch ein Benutzer ein Skript oder Programm aus, etwa bei einer Installation, so muss er nicht einmal sein Passwort eingeben, damit dieses ein StartupItem anlegen kann, das beim nächsten Systemstart mit root-Rechten machen kann, was es will. Bekommt ein gutgläubiger Anwender nun ein bösartiges Programm untergejubelt, sind der Software über diesen Mechanismus Tür und Tor geöffnet. Nicht nur deshalb sollte man nur Programme starten, die aus einer zuverlässigen Quelle stammen.


Unter Mac OS X 10.3 besitzt das Festplatten-Dienstprogramm zwar eine Funktion namens "Volume-Zugriffsrechte reparieren" zur Korrektur fehlgeleiteter Rechte, diese berücksichtigt aber lediglich /Library/StartupItems/ selbst und nicht dessen Inhalt. Um auf Nummer Sicher zu gehen, kann man deshab in einem Terminal


sudo chown -R root:wheel /Library/StartupItems/



eingeben und diesen Befehl mit seinem Administratorpasswort bestätigen. Danach dürfen nur root und die Mitglieder der Gruppe wheel (und das ist standardmäßig nur root) in die StartupItems schreiben. Apple soll bereits am 24. März über das Problem informiert worden sein, bislang aber noch nicht darauf reagiert haben. Wer sich etwas näher mit diesem Sachverhalt beschäftigen möchte: Er wird zur Zeit in der Newsgroup de.comp.sys.mac.misc intensiv diskutiert.


sollte man doch ernst nehmen oder ?
 
ujeah! warum postest du nicht den gesamten heise-newsticker seit 1998?

drei lösungen für das problem:
- nicht immer installieren, was einem über den weg läuft.
- hoffen, dass die programme die man installiert dies beachten.
- computer ausgeschaltet lassen, in den biergarten gehen und sich ordentlich eine ansaufen :D

gruß
lama
 
hallo

fragt der installer dann das root password bei der instalation ab wenn ich den terminal befehl eingegeben habe oder merke ich davon nichts und es wird einfacvh nicht reingeschrieben?

wie lautet der befehl um das ganze wieder rückgängig zu machen?
cya pink
 
- hoffen, dass die programme die man installiert dies beachten.
Hoffe Du mal...
- computer ausgeschaltet lassen, in den biergarten gehen und sich ordentlich eine ansaufen
Und danach solche Mails wie diese posten? "Welche" hast Du Dir denn angesoffen? Die Blonde oder die Brünette?

Gruss,
beo
 
Original geschrieben von beo
Hoffe Du mal...

Und danach solche Mails wie diese posten? "Welche" hast Du Dir denn angesoffen? Die Blonde oder die Brünette?

Gruss,
beo
 

uhhhhh, da hat jemand eine spitze zunge :D

da war wohl mal wieder der <no_fun_mode> angeschaltet... aber spass beiseite: die hoffnung stirbt zuletzt :D

@SchaSche: ich glaub wir verstehen uns :D wir sollten mal gemeinsam innen biergarten gehen...
 
Original geschrieben von blalalama
ujeah! warum postest du nicht den gesamten heise-newsticker seit 1998?

drei lösungen für das problem:
- nicht immer installieren, was einem über den weg läuft.
- hoffen, dass die programme die man installiert dies beachten.
- computer ausgeschaltet lassen, in den biergarten gehen und sich ordentlich eine ansaufen :D

gruß
lama
&nbsp;

- ich finde ja sehr interessant, wie in der Mac-Welt auf eine solche, normalerweise nur Windows-User betreffende Sicherheitslücken-Meldung reagiert wird:
Abwiegeln,
hoffen, und
Stecker ziehen.

Eigentlich die klassischen Reaktionen eines Windows-Benutzers, oder?
 
fragt der installer dann das root password bei der instalation ab wenn ich den terminal befehl eingegeben habe oder merke ich davon nichts und es wird einfacvh nicht reingeschrieben?
Das gefährliche ist ja eben, dass im Rahmen des Installationsvorgangs das Passwort abgefragt wird, welches gewohnheitsgemässig eingegeben wird...
Beim nächsten Neustart könnten dann beliebige StartupItems mit root-Rechten ablaufen. Kriegt man aber nicht mit, wenn man im Biergarten sitzt...

wie lautet der befehl um das ganze wieder rückgängig zu machen?
Indem Du erst einmal, wie vorgeschlagen, die Rechte für /Library/StartupItems/ korrigierst. Damit behebst Du Fehler, die Programme wie beispielsweise Timbuktu, an diesen Ordnern angestellt haben.

Gruss,
beo
 
Original geschrieben von Mirzel
&nbsp;

- ich finde ja sehr interessant, wie in der Mac-Welt auf eine solche, normalerweise nur Windows-User betreffende Sicherheitslücken-Meldung reagiert wird:
Abwiegeln,
hoffen, und
Stecker ziehen.

Eigentlich die klassischen Reaktionen eines Windows-Benutzers, oder?
&nbsp;

nö....

eigentlich die reaktion eines users, der neben windows auch noch mit solaris, hp-ux, solaris, os/390 und anderem kram zu tun hat...

meines erachtens ist es so, dass ich eher bei meiner firmen-kiste (w2k) auf sicherheit achte.
wie viele andere im forum hier bin ich mir sicher, dass es zum einen wesentlich einfacher ist einen virus/wurm/trojaner auf einem w2k system zu verteilen, als auf einem mac-rechner unter osx.

gruß
lama
 
meines erachtens ist es so, dass ich eher bei meiner firmen-kiste (w2k) auf sicherheit achte.
wie viele andere im forum hier bin ich mir sicher, dass es zum einen wesentlich einfacher ist einen virus/wurm/trojaner auf einem w2k system zu verteilen, als auf einem mac-rechner unter osx.

"wesentlich einfacher" heisst nicht "unmöglich".

eigentlich die reaktion eines users, der neben windows auch noch mit solaris, hp-ux, solaris, os/390 und anderem kram zu tun hat...
Ich bin beeindruckt.

Hoffe aber wirklich, dass Du wirklich nur "User" und nicht "Administrator" dieser Maschinen bist.
Weil es bei Deiner Einstellung nur eine Frage der Zeit ist, wann der SuperGAU eintritt.

Gruss,
beo
 
Bei mir finde ich den Ordner /Library/StartupItems/ gar nicht.

Hat sich der versteckt? :D

Habt ihr den auf der Platte?


- Thomas
 
Also bei mir ist er. System --> Library --> StartupItems.

Edit: auch unter Library --> StartupItems ist einer. Um den gehts wohl.
 
Zuletzt bearbeitet:
Original geschrieben von Z-Kin
Also bei mir ist er. System --> Library --> StartupItems.
&nbsp;

Danke den meinen die also.
Ich glaube bei OS X 10.2 war das unter /Library/StatupItems.

- Thomas
 
Ich lese immer nur Root...

Hallo MacUser,

ich lese bei heise immer nur Root; aber was ist eigentlich, wenn man das Root-Passwort noch garnicht eingegeben hat? Und was passiert, wenn ich die bei heise vorgeschlagene sudo-zeile ins Terminal eingebe _ohne_ ein Root-Passwort definiert zu haben?

Kann mir das jemand beantworten oder spielt das keine Rolle?

Liebe Grüße
sleepless

PS: Ich habe Mac OS 10.3.3...
 
Zurück
Oben Unten