Neue Sicherheitslücke bei OSX

volksmac

Aktives Mitglied
Thread Starter
Dabei seit
04.05.2004
Beiträge
3.184
Reaktionspunkte
26
neue sicherheitslücken sind bei OSX anscheinend entdeckt worden.
so soll es möglich sein, daß jeder normale usr (ohne root zu sein )
dateien ansehen kann von anderen usern, die ihm eigentlich verschlossen sein sollten und die nur ein root einsehen dürfte.
mit dem terminalbefehl: sudo chmod -s /usr/bin/at
ist diese lücke ersteinmal zu schliessen, wird aber leider bei der nächsten rechte reparatur ad absurdum gemacht und man muss diesen befehl erneut ausführen. hoffentlich reagiert apple schnell, denn gerade firmen offenbaren so schnell geheimnisse.

weiterhin wird berichtet, das der exploit code für isync im netz jetzt vorhanden ist, der angreifern ein loch von isync bei nutzung bietet und durch den viren oder trojaner eingeschleusst werden können.

alles im allem nicht erfreuliche meldunge und neuigkeiten und es wird wohl weiter zunehmen, je mehr auf mac switchen :(
 
Scheint nicht wirklich tragisch zu sein. In der MAN-Page zu "at" steht das hier:

"NOTE
at, batch, atq, atrm are all disabled by default on Mac OS X. Each of
these commands depend on the execution of atrun(8) which has been dis-
abled due to power management concerns. Those who would like to use
these commands, must first re-enable /usr/libexec/atrun"

Wo kein Angriffspunkt, da auch kein Angriff.

Also erstmal eine passende Quelle dafür, dann schauen wir weiter.

cla
 
So lange die lücken lokal und so unkritisch sind mache ich mir keine sorgen.
 
Ich hab mal auf den üblichen Newsseiten nachgesehen - bislang steht da nichts. :rolleyes:
 
ich werde die quelle nicht linken, wartet bis es offiziell ist...
sorry , aber ihr werdet es hören
 
Zuletzt bearbeitet:
Ha , die meldung kannte ich nicht, habe nur eine erfolgsmeldung im www.securityfocus.com gelesen , wo es einem usr gelungen ist mit einem exploit ins osx reinzukommen als root.
 
die firma soll die at lücke schon im juni an apple gemeldet haben laut der meldung, seit dem sind schon einige updates ins land gegangen und nichts ist bisher gefixed worden...
deswegen wohl die veröffentlichung... ;)

der mRouter buffer overflow ist neu, mRouter wird aber nur bei symbian handys verwendet. hält zwar niemanden davon ab, das lokal auszuführen...
 
volksmac schrieb:
ich werde die quelle nicht linken, wartet bis es offiziell ist...
sorry , aber ihr werdet es hören


Tut mir leid, aber das Ganze hier ist mir einfach nur verwirrend. Hier ein Infohäppchen, da ein weiteres, keine Quellen. :rolleyes:

Damit kann ich weiß Gott nichts anfangen ... :cool:
 
Apple hat jetzt schnell auf das erste sicherheitsloch reagiert und schliesst dieses mit dem updatehier

was noch offen bleibt ist das symbian loch, da brauchen sie wohl auch etwas um probleme mit anderen apps auszuschliessen.
der exploit quellcode ist denen ja auch zugänglich , findet man bei new order und wer kein simbian verwendet kann im terminal sich über diese befehlsfolge ersteinmal schützen: sudo chmod -s /System/Library/SyncServices/SymbianConduit.bundle/Contents/Resources/mRouter

das hält bis zur nächsten rechte reperatur und wir hoffen ja alle das apple schnell nachbessert .

;)
 
noch ein kommentar weil ich mit quelle und infos zu zurückhaltend bin/war, denn das werde ich hiermit nachholen gleich mit link, damit sich jeder selber überzeugen kann. schade das insider seiten schneller sind und diese löcher finden, und ehe apple reagiert (und dieses symbian loch ist schnell zu beheben und leider nicht mit dem jetzigen update) ist es ind er szene schon lange rum gesprochen.
das ist sehr bedauerlich, weil eben zu beheben. aber je schneller sich das wohl rumspricht desto schneller wird apple das erfahren.
so hier dier link, mit link zum exploit code etc. alles auf diesem link hier- http://www.securityfocus.com/bid/12334/discussion/
werden aber viele nichts anzufangen wissen, aber die cracks schon ! :D
 
volksmac schrieb:
das hält bis zur nächsten rechte reperatur und wir hoffen ja alle das apple schnell nachbessert.

Hi
mit einem Cron-Job Eintrag oder Start Item würde es vielleicht länger halten.
 
glotis schrieb:
Hi
mit einem Cron-Job Eintrag oder Start Item würde es vielleicht länger halten.

nur zu: schreib mal ein script und poste es hier :D
 
volksmac schrieb:
nur zu: schreib mal ein script und poste es hier :D

Code:
#!/bin/sh
/bin/chmod -s /System/Library/SyncServices/SymbianConduit.bundle/Contents/Resources/mRouter

und das passend StartupParameter.plist:

Code:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.
com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>Description</key>
        <string>Symbian Exploit Fix</string>
        <key>Messages</key>
        <dict>
                <key>start</key>
                <string>Entferne suid von mRouter</string>
        </dict>
        <key>OrderPreference</key>
        <string>None</string>
        <key>Provides</key>
        <array/>
        <key>Requires</key>
        <array/>
        <key>Uses</key>
        <array/>
</dict>
</plist>

das ganze jetzt in ein eigenes verzeichnis von startupitems und das script
chmod 755
 
admartinator schrieb:
Was ist denn das für eine Phobia-Taktik? :D

man muß ja nicht gleich alles was heikel ist ins netz stellen.
jetzt ist es ehedem drin.

oneOeight

danke gucke ich mal an.
 
Zuletzt bearbeitet:
was das script von oneOeight angeht. Folgendes Zitat von einem user(profi) aus einem anderen forum
sorry, aber das Teil ist nicht nur falsch sondern auch total ueberfluessig. Und birgt ganz im Gegenheil evtl. selber eine dicke Luecke da dieses Script als root ausgefuehrt werden muesste.
Wer bei diesem Script dann die Rechte falsch setzt hat gewonnen

Abgesehen davon ist das nix weiter als eine Kopie meiner obigen Zeile nur als StartUpItem was ich persoenlich fuer totalen Muell halte. Wer Rechte reparieren geht (mach ich uebrigens nie wieder da dieses Misttool auch andere Sachen zerstoert) kann diese eine Zeile lieber von Hand eingeben.

Ausserdem ist die Beschreibung dazu falsch und das Script wie gesagt auch.

Jedenfalls ist damit das Loch auf keinen Fall dicht nach einer Reparatur. Wenn man das Script korrigieren wuerde hoechstens nachdem naechsten Neustart.
 
Wer zeitnah über entsprechende Exploits informiert werden möchte, was btw speziell für Admins imho Pflicht ist, der/die sollte sich entsprechende Mailling-Listen abonieren. Ich denke hier speziell an Bugtraq und Full-Disclosure. Wobei da einiges an Mails zusammenkommt, so als kleine Vorwarnung.
Full-Disclosure habe ich nach einer Zeit wieder abbestellt, da mir dort doch deutlich zu viel Müll mitkam. Man hat sich dort beispielsweise über diverse "Wurm-Eskapaden" von Windows lustig gemacht ohne technischen Hintergrund. Nun - das kann man gerne tun. Aber sowas gehört nicht in so eine Liste.
 
Zurück
Oben Unten