Neue Sicherheitslücke bei OSX

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
neue sicherheitslücken sind bei OSX anscheinend entdeckt worden.
so soll es möglich sein, daß jeder normale usr (ohne root zu sein )
dateien ansehen kann von anderen usern, die ihm eigentlich verschlossen sein sollten und die nur ein root einsehen dürfte.
mit dem terminalbefehl: sudo chmod -s /usr/bin/at
ist diese lücke ersteinmal zu schliessen, wird aber leider bei der nächsten rechte reparatur ad absurdum gemacht und man muss diesen befehl erneut ausführen. hoffentlich reagiert apple schnell, denn gerade firmen offenbaren so schnell geheimnisse.

weiterhin wird berichtet, das der exploit code für isync im netz jetzt vorhanden ist, der angreifern ein loch von isync bei nutzung bietet und durch den viren oder trojaner eingeschleusst werden können.

alles im allem nicht erfreuliche meldunge und neuigkeiten und es wird wohl weiter zunehmen, je mehr auf mac switchen :(
 

cla

Aktives Mitglied
Registriert
24.10.2003
Beiträge
2.965
Scheint nicht wirklich tragisch zu sein. In der MAN-Page zu "at" steht das hier:

"NOTE
at, batch, atq, atrm are all disabled by default on Mac OS X. Each of
these commands depend on the execution of atrun(8) which has been dis-
abled due to power management concerns. Those who would like to use
these commands, must first re-enable /usr/libexec/atrun"

Wo kein Angriffspunkt, da auch kein Angriff.

Also erstmal eine passende Quelle dafür, dann schauen wir weiter.

cla
 

bebo

Aktives Mitglied
Registriert
20.11.2003
Beiträge
3.714
So lange die lücken lokal und so unkritisch sind mache ich mir keine sorgen.
 
L

Lynhirr

Ich hab mal auf den üblichen Newsseiten nachgesehen - bislang steht da nichts. :rolleyes:
 

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
ich werde die quelle nicht linken, wartet bis es offiziell ist...
sorry , aber ihr werdet es hören
 
Zuletzt bearbeitet:

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
Ha , die meldung kannte ich nicht, habe nur eine erfolgsmeldung im www.securityfocus.com gelesen , wo es einem usr gelungen ist mit einem exploit ins osx reinzukommen als root.
 

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.530
die firma soll die at lücke schon im juni an apple gemeldet haben laut der meldung, seit dem sind schon einige updates ins land gegangen und nichts ist bisher gefixed worden...
deswegen wohl die veröffentlichung... ;)

der mRouter buffer overflow ist neu, mRouter wird aber nur bei symbian handys verwendet. hält zwar niemanden davon ab, das lokal auszuführen...
 
L

Lynhirr

volksmac schrieb:
ich werde die quelle nicht linken, wartet bis es offiziell ist...
sorry , aber ihr werdet es hören


Tut mir leid, aber das Ganze hier ist mir einfach nur verwirrend. Hier ein Infohäppchen, da ein weiteres, keine Quellen. :rolleyes:

Damit kann ich weiß Gott nichts anfangen ... :cool:
 

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
Apple hat jetzt schnell auf das erste sicherheitsloch reagiert und schliesst dieses mit dem updatehier

was noch offen bleibt ist das symbian loch, da brauchen sie wohl auch etwas um probleme mit anderen apps auszuschliessen.
der exploit quellcode ist denen ja auch zugänglich , findet man bei new order und wer kein simbian verwendet kann im terminal sich über diese befehlsfolge ersteinmal schützen: sudo chmod -s /System/Library/SyncServices/SymbianConduit.bundle/Contents/Resources/mRouter

das hält bis zur nächsten rechte reperatur und wir hoffen ja alle das apple schnell nachbessert .

;)
 

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
noch ein kommentar weil ich mit quelle und infos zu zurückhaltend bin/war, denn das werde ich hiermit nachholen gleich mit link, damit sich jeder selber überzeugen kann. schade das insider seiten schneller sind und diese löcher finden, und ehe apple reagiert (und dieses symbian loch ist schnell zu beheben und leider nicht mit dem jetzigen update) ist es ind er szene schon lange rum gesprochen.
das ist sehr bedauerlich, weil eben zu beheben. aber je schneller sich das wohl rumspricht desto schneller wird apple das erfahren.
so hier dier link, mit link zum exploit code etc. alles auf diesem link hier- http://www.securityfocus.com/bid/12334/discussion/
werden aber viele nichts anzufangen wissen, aber die cracks schon ! :D
 

glotis

Mitglied
Registriert
18.05.2004
Beiträge
554
volksmac schrieb:
das hält bis zur nächsten rechte reperatur und wir hoffen ja alle das apple schnell nachbessert.

Hi
mit einem Cron-Job Eintrag oder Start Item würde es vielleicht länger halten.
 

oneOeight

Aktives Mitglied
Registriert
23.11.2004
Beiträge
57.530
volksmac schrieb:
nur zu: schreib mal ein script und poste es hier :D

Code:
#!/bin/sh
/bin/chmod -s /System/Library/SyncServices/SymbianConduit.bundle/Contents/Resources/mRouter

und das passend StartupParameter.plist:

Code:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.
com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>Description</key>
        <string>Symbian Exploit Fix</string>
        <key>Messages</key>
        <dict>
                <key>start</key>
                <string>Entferne suid von mRouter</string>
        </dict>
        <key>OrderPreference</key>
        <string>None</string>
        <key>Provides</key>
        <array/>
        <key>Requires</key>
        <array/>
        <key>Uses</key>
        <array/>
</dict>
</plist>

das ganze jetzt in ein eigenes verzeichnis von startupitems und das script
chmod 755
 

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
admartinator schrieb:
Was ist denn das für eine Phobia-Taktik? :D

man muß ja nicht gleich alles was heikel ist ins netz stellen.
jetzt ist es ehedem drin.

oneOeight

danke gucke ich mal an.
 
Zuletzt bearbeitet:

volksmac

Aktives Mitglied
Thread Starter
Registriert
04.05.2004
Beiträge
3.186
was das script von oneOeight angeht. Folgendes Zitat von einem user(profi) aus einem anderen forum
sorry, aber das Teil ist nicht nur falsch sondern auch total ueberfluessig. Und birgt ganz im Gegenheil evtl. selber eine dicke Luecke da dieses Script als root ausgefuehrt werden muesste.
Wer bei diesem Script dann die Rechte falsch setzt hat gewonnen

Abgesehen davon ist das nix weiter als eine Kopie meiner obigen Zeile nur als StartUpItem was ich persoenlich fuer totalen Muell halte. Wer Rechte reparieren geht (mach ich uebrigens nie wieder da dieses Misttool auch andere Sachen zerstoert) kann diese eine Zeile lieber von Hand eingeben.

Ausserdem ist die Beschreibung dazu falsch und das Script wie gesagt auch.

Jedenfalls ist damit das Loch auf keinen Fall dicht nach einer Reparatur. Wenn man das Script korrigieren wuerde hoechstens nachdem naechsten Neustart.
 

audio07

Mitglied
Registriert
09.10.2004
Beiträge
160
Wer zeitnah über entsprechende Exploits informiert werden möchte, was btw speziell für Admins imho Pflicht ist, der/die sollte sich entsprechende Mailling-Listen abonieren. Ich denke hier speziell an Bugtraq und Full-Disclosure. Wobei da einiges an Mails zusammenkommt, so als kleine Vorwarnung.
Full-Disclosure habe ich nach einer Zeit wieder abbestellt, da mir dort doch deutlich zu viel Müll mitkam. Man hat sich dort beispielsweise über diverse "Wurm-Eskapaden" von Windows lustig gemacht ohne technischen Hintergrund. Nun - das kann man gerne tun. Aber sowas gehört nicht in so eine Liste.
 
Oben