Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm

[sebakotiv]

Ums mal zu verdeutlichen: Stell dir nur mal vor, dass jemand auf macuser.de, oder einer anderen gängigen Mac-affinen Seite, einige Hyperlinks geändert werden, die ein "nettes" bestimmtes Zip-Archiv. Das Ding wird automatisch von Safari geöffnet, und "Schwups", in Nullkommanichts läuft bei dutzenden oder hunderten Usern (die ihr System mit default-Einstellungen und allen Sicherheitsupdates betreiben!) ein nettes Shell-Skript, das fröhlich den Home-Ordner löscht.

Das wird nicht passieren. Beim Herunterladen übernimmt Safari nicht die Einstellung der Datei, wo gesagt wird, mit welchem Programm diese Datei zu öffnen ist. Ich habe das ausprobiert: habe eine .zip-Datei erstellt, die keine wirkliche zip-datei ist, sondern ein Terminal-Dokument (wie in unserem Beispiel bei Heise), hochgeladen und dann mit Safari runtergeladen - nichts passiert! Safari versucht das mit BOM zu öffnen. Das Problem liegt nur am Mail2. Die Einstellung, die sagt, mit welchem Program die Datei geöffnet werden muss, wird mitgeschickt. Und das darf nicht sein!

 

[ostfriese]

Ich weiss nicht, warum sich hier so viele so verrückt machen. Wer einfach wo drauf klickt, der ist wahrscheinlich so ein User, der das Terminal eh nie braucht. Daher kann man das ganz einfach abstellen:

Terminal öffnen
chmod o-x /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal

Für den obigen Befehl braucht man natürlich die entsprechenden Rechte -> Root!

Und dann: User als User ohne Adminrechte. Fertig.

Und wer es doch braucht, wird soviel Intelligenz in seinem Dings haben, was man bekanntlich Hirn nennt, dass er weiss, was er tut und nicht jeden Sch... einfach anklickt!

Gruss,

Manjo.

das ist ja alles schön und gut
in meinem bekanntenkreis sind allerdings ne menge mac user die den benutzen weil er einfach zu bedienen ist und vom windows rechner weg sind um so einem unsinn mit befehlszeile hier und da aus dem weg zu gehen
da muss schnellsten ein security update her
und da safari den ganzen prozess automatisch ausführt ist das ein sehr gefährlicher exploit
kann nicht verstehen wie man sowas runterspielen kann

wenn sich wirklich mal was böswilliges verbreitet und sei es nur ein exploit und nicht unbedingt ein virus
wird das einschlagen wie eine bombe, weil sich viele auf dieses
"der mac ist sicher" ding verlassen
apple muss bei sowas - ähnlich wie ms - schnellstens mit einem patch reagieren

 

[ostfriese]

Das wird nicht passieren. Beim Herunterladen übernimmt Safari nicht die Einstellung der Datei, wo gesagt wird, mit welchem Programm diese Datei zu öffnen ist. Ich habe das ausprobiert: habe eine .zip-Datei erstellt, die keine wirkliche zip-datei ist, sondern ein Terminal-Dokument (wie in unserem Beispiel bei Heise), hochgeladen und dann mit Safari runtergeladen - nichts passiert! Safari versucht das mit BOM zu öffnen. Das Problem liegt nur am Mail2. Die Einstellung, die sagt, mit welchem Program die Datei geöffnet werden muss, wird mitgeschickt. Und das darf nicht sein!

man muss die datei vorher verändern (siehe heise)
und den header entfernen
und schwupps wird der terminal befehl ausgeführt- seihe heise safari demo

 

[tau]

Das latestpics-Archiv wurde auch in einschlägigen Mac-Foren als "interessante Screenshots" zum Download angeboten...
Es ist auch keineswegs so, als sei noch nie ein populäres Mac-Forum gehackt worden.
Entspannt zurücklehnen?

Wir können es gern ausprobieren, und so einen Exploit mal als "Leopard-Screenshots" hier im Forum posten...*

Dass damit Virenscanner, Firewall, Intrusion Detection etc. gemeint ist, bemerkst du, dachte ich...

Der Unterschied ist: Die meisten Windows-User haben ein mitgeliefertes Antivirus-Programm auf ihrem Rechner. Hier im Forum, und überhaupt unter Mac-Usern wird und wurde jedoch gängigerweise empfohlen: "Antivirus? Brauchst du nicht. Für den Mac gibt's keine Viren und ähnliches. OS X ist nämlich viel weniger angreifbar als Windows.

Du vermischst hier 2 unterschiedliche Dinge.

Virus = Computerprogramm, welches sich in andere Computerprogramme/Systeme einschleust und sich damit reproduziert.
Dazu braucht es Systemrechte. Die sind durch das Admin/User Konzept (bei Nutzung dessen) derzeit für kein Schadprogramm zu erreichen.
Antivirenprogamme sind immer noch Geldschneiderei und wiegen den Nutzer entweder in falscher Sicherheit oder verursachen Panik durch Fehlalarm (hatten wir heute erst hier)
Falsche Sicherheit ist: „Ich hab ja nen Virenscanner, der erkennt ja alles“
-> In welcher Virendefinition sollte ein Script mit einem Home-Löschbefehl stehen?

OSX ist kaum angreifbar. Das System selbst.

(OK, es gab diesen einen Trojaner neulich, der sich über das Adminkonto Rechte für seine Reproduzierung verschafft. Das hat hier einen ganz schönen Stein ins Rollen gebracht… ist vielleicht auch gut so, aber Panik ist unangebracht)

Was verwundbar ist: das Homeverzeichnis. Natürlich.

Aber (ich will das jetzt beileibe nicht runterspielen, nur wieder auf einen nüchternen Level bringen):
Das Homeverzeichnis von einem Script löschen zu lassen, das mit fiesen Tricks dem Nutzer zu dessen aktiver Ausführung untergejubelt wird, ist böser, krimineller Unfug.
Aber auch nichts weiter. Außer pyromanischer Selbstbefriedigung hat da keiner was davon, auch die Verbreitung dürfte technisch gesehen vergleichsweise lächerlich gering bleiben gegenüber „richtigen“ Schadprogrammen.

Was ich damit sagen will: rm -rf * schön und gut, aber das erste Interesse besteht doch darin, das System zu krallen, damit man weitere Routinen durchführen kann (Passwortsniffer, Botnetzclients, selbsttätige Weiterverbreitung)


das hat jetzt alles nichts damit zu tun, daß wir hier in Mail 2 wirklich eine anwenderseitige Sicherheitslücke haben, die wohl hoffenlich schnell gefixt ist.

 

[ostfriese]

Aber (ich will das jetzt beileibe nicht runterspielen, nur wieder auf einen nüchternen Level bringen):
Das Homeverzeichnis von einem Script löschen zu lassen, das mit fiesen Tricks dem Nutzer zu dessen aktiver Ausführung untergejubelt wird, ist böser, krimineller Unfug.
Aber auch nichts weiter. Außer pyromanischer Selbstbefriedigung hat da keiner was davon, auch die Verbreitung dürfte technisch gesehen vergleichsweise lächerlich gering bleiben gegenüber „richtigen“ Schadprogrammen.

Was ich damit sagen will: rm -rf * schön und gut, aber das erste Interesse besteht doch darin, das System zu krallen, damit man weitere Routinen durchführen kann (Passwortsniffer, Botnetzclients, selbsttätige Weiterverbreitung)

mit der grundsätzlichen sicherheit gebe ich dir recht
allerdings gibt es genügend leute die auf diese "pyromanischer Selbstbefriedigung" stehen
das war schon zu dos zeiten der fall
und ist auch bei dem grösstenteil der heutigen viren so
einfach mal zeigen, dass man es kann...
ich will hier keine anleitung geben, aber für den derzeitigen exploit gibt es schon eine menge möglichkeiten immensen schaden anzurichten
und auch user zum (unbewussten) download solcher dateien mit versteckten scripten zu verleiten ist kein grosses problem...
ich hoffe auch auf ein update

 

[faJa]

Falls es noch nicht gepostet wurde, einfach die Bilder vorher als Diashow ansehen, wenn kein Bild kommt -> mißtrauisch werden!
Der Code wird da nicht ausgeführt, hab ich grade rausgefunden.

Falls jemand schneller war - vergesst meinen Post

Beim ansehen der Datei im Safari wird bei mir kein Code ausgeführt!

OS X.4.5
Mail 2.0.5
Safari 2.0.3

 

[performa]

Das wird nicht passieren.

Oben hat es schon jemand geschrieben:
Hier der Link auf das Heise-Zip-Archiv:

heise.de/security/dienste

Nur draufklicken, der Rest passiert ganz von allein.
Das Shell-Skript öffnet sich dabei.

Du vermischst hier 2 unterschiedliche Dinge.

Virus = Computerprogramm

Ja, das war mir schon klar.

-> In welcher Virendefinition sollte ein Script mit einem Home-Löschbefehl stehen?

Ich kenne mich als Mac-User nicht so gut mit Antivirus-Software aus Aber Spaß beiseite: Makro-Viren werden doch auch erkannt. Außerdem, und das ist der Hauptpunkt, siehe unten...

Antivirenprogamme sind immer noch Geldschneiderei und wiegen den Nutzer entweder in falscher Sicherheit

Du beziehst dich dabei aber nur auf OS X, oder? Im übrigen: Ohne Antivirus-Programm schickt man auch als Mac-User eventuell Viren (für andere Plattformen) weiter, die beim jeweiligen Empfänger eventuell Schaden anrichten können. Als seriöse Firma beispielsweise kann man sich das nicht erlauben.

Ändert natürlich nichts daran, dass sich ein Antivirus-Programm unter Windows "eher lohnt", aber als reine "Geldschneiderei" würde ich das nicht bezeichnen.

OSX ist kaum angreifbar. Das System selbst.

Mag sein.
Mag auch nicht sein.
Ich kann da nicht vorbehaltlos zustimmen, da a) Apple ja immer mal wieder irgendwelche "unfreiwilligen Hintertürchen" einbaut (Quicktime etc..) und b) ich meine Zweifel habe, wie ernst OS X bis jetzt "unter Beschuss" genommen wurde.
Aber ist Spekulation...

Das Homeverzeichnis von einem Script löschen zu lassen, das mit fiesen Tricks dem Nutzer zu dessen aktiver Ausführung untergejubelt wird, ist böser, krimineller Unfug.
Aber auch nichts weiter. Außer pyromanischer Selbstbefriedigung hat da keiner was davon, auch die Verbreitung dürfte technisch gesehen vergleichsweise lächerlich gering bleiben gegenüber „richtigen“ Schadprogrammen.

Moment!
Ich schicke einmal vorweg:
Standardmäßig legt OS X ja Admin-Accounts an, und die meisten dürften mit einem solchen eingeloggt sein. Ich arbeite auch als solcher.

Denken wir doch mal weiter:
- Das Skript kann doch problemlos Sachen aus dem Internet "nachladen"
- Das Skript kann problemlos Programme auf meinem Rechner öffnen.
- So könnte das Ding sich doch beispielsweise ohne weiteres einen netten Trojaner, sagen wir mal einen Keylogger "von zuhause" nachholen, und dessen Daten mindestens per HTTP-Upload an seinen Erschaffer verschicken.

Ich kann mir jedenfalls schon vorstellen, wie ich verschiedene Sachen auf dem Computer des Anwenders starte. Und ich bin eher ein interessierter Laie, als diplomierter Hacker... Oder mache ich als solcher jetzt irgendwie einen Denkfehler?


PS: Natürlich könnte ich meinen Trojaner gleich mit meinem Shell-Skript in ein ZIP-Archiv verpacken, so dass ich die Binary gleich auf das System des Anwenders mitbringe. Und mal ganz naiv gefragt: höchstwahrscheinlich kann ich unter OS X mit Default-Konfiguration per Skript doch auch ein paar Mails raussenden, um meine Kreation weiterzuverbreiten, oder?

 

[tau]

Virenscanner/Geldschneiderei: Natürlich sprach ich von OSX
Das mit dem Weiterverschicken von Windowsviren ist auch relativ, da ja unter OSX derartige selbsttätige Verschickroutinen beispielsweise an das komplette Adressbuch nicht greifen.
Hier ist eher wieder Brain 2.0 gefragt: was schicke ich wem und warum, und von wem ist der Kram?

Denken wir doch mal weiter:
- Das Skript kann doch problemlos Sachen aus dem Internet "nachladen"
- Das Skript kann problemlos Programme auf meinem Rechner öffnen.
- So könnte das Ding sich doch beispielsweise ohne weiteres einen netten Keylogger "von zuhause" nachholen, und dessen Daten mindestens per HTTP-Upload an seinen Erschaffer verschicken.

Oder mache ich jetzt irgendwie einen Denkfehler?

Grundsätzlich läßt sich nichts ohne Adminpaßwortabfrage installieren.

Die neulich neu entdeckte Situation ist: unter den erweiterten Rechten des Adminaccounts schafft es ein script zumindest in users/admin/Library/InputManagers, um von dort aus gerade aktive Programme zu manipulieren. (Auch das könnte durchaus mit neuen Security-Updates wieder obsolet sein.)
Inwieweit ein von Dir geschildertes Szenario unter diesen Umständen möglich ist, entzieht sich meiner Kenntnis (auch kein diplomierter Hacker ), allerdings - und das zumindest wird immer wieder gepredigt - ist es wirklich anzuraten, das Admin/User-Konzept auch wahrzunehmen und zu benutzen.

Daß es vom Karton aus nicht voreingestellt ist (mit entsprechenden Hinweisen/Benutzerführung) kann man durchaus kritisieren.



PS: Ohne Dir nahetreten zu wollen: aber könntest Du es bitte lassen, direkt auf das Heise-Script zu verlinken? Der Link zum Artikel dürfte reichen.
Auch das gehört irgendwie zum Thema: nicht einfach irgendwelche Dateien anbieten, die sofort loslegen.
der Nächste sagt auch: hier heise.jpg - hat es manipuliert, es liegt wo anders… und wir haben ein Problem.

 

[Ghettomaster]

Das einzige was mich momentan so wirklich interessiert, ist der Zeitraum den Apple für einen Fix benötigt.

CU
Ghettomaster

 

[Manjo]

Ich muss schon sagen, eine nette Lektüre vor dem Frühstück heute Morgen hier!

Da denke ich immer noch als erstes morgens nach dem Aufwachen:

/etc/init.d/brain20 restart

Und schon wird (fast) alles gut. Wer ein bisschen genauer liest, erkennt, dass es für diese Lücken einfache vorläufige Lösungen gibt, die das Ganze erst einmal entschärfen. Wer Angst um seine Daten im Home-Verzeichnis hat, sollte immer daran denken, regelmßäig ein Backup auf einem anderen Medium (!) zu machen.

Das Weiterschicken von Virenmails kann man ganz einfach dadurch unterbinden, indem man alle Mails als reinen Text verschickt und bei fragwürdigen Attachments lieber die Finger davon läßt. Zudem produzieren html-Mails meiner Meinung nach sowieso unnötigen Overhead und missbrauchen das Mailsystem für Dinge, für die es eigentlich nicht gedacht war.

Die Tatsache, dass Apple seine Rechner im Karton mit einem Admin-User als Standard versieht, hat sicherlich etwas mit deren Pilosophie zu tun. Denn man will es dem DAU nicht unnötig schwer machen und so kann man einfach per D&D sein neues Proggi in den Programme-Ordner fallen lassen - fertig. Das war für auch mich, der ich aus der Windoof- und Unix/Linux-Welt diesen Windowsinstaller und 'make install' gewohnt war, sehr angenehm.

Übrigens: es gab schon unter OS 9 Viren! Wer redet heute noch davon? Neue Extrem-Windows-Viren kommen sogar in der Tagesschau zu Wort!

Grüße vom Frühstückstisch

Manjo

 

[muellermanfred]

bah

Moin.

"Extrem-Windows-Viren" ... Das sind ja nur statistische Phänomene: wenn ich ein prominentes Ziel durch eine dos-Attacke lahmlegen will, brauche ich eine breite Basis, und da wäre es hinderlich, sich mit mehr als einem System zu beschäftigen. Das hat diese Dinger so "extrem" gemacht.

Es reicht mir zum Unglück doch völlig, wenn ein gelangweilter Pubertierender auf die Idee kommt: "hehehe! Die rechnen ja gar nich damit, also mach ich ma'n Virus füa Macs, hehe!" Das Ding kann dann extrem unprominent sein und trotzdem extrem ärgerlich, schafft's vielleicht nicht in die Nachrichten, aber auf meinen Rechner und dann werd' ich sauer.

Der Technik-Vorteil ist weg, der Statistik-Vorteil auch. Und obwohl mir die Lücken vorkommen wie schlaue Marketing-Gags (von wem auch immer), denk ich seit Tagen an gehässige Pickelgesichter ...

Manfred

 

[SchaubFD]

Terminal öffnen
chmod o-x /Applications/Utilities/Terminal.app/Contents/MacOS/Terminal

Für den obigen Befehl braucht man natürlich die entsprechenden Rechte -> Root!

Und dann: User als User ohne Adminrechte. Fertig.

Schön, aber es gibt Programme die das Terminal brauchen und die man nicht editieren kann. Gibt es noch bessere Alternativen?

 

[ostfriese]

Schön, aber es gibt Programme die das Terminal brauchen und die man nicht editieren kann. Gibt es noch bessere Alternativen?

da bei dem script ein absoluter pfad notwendig ist
reicht es terminal.app zu verschieben ZB in einen eigenen unterordner

allerdings musst du es vor jedem update wieder zurückschieben

 

[Friek]

wieso muss man das vor nem Update wieder zurückschieben? Is wahrs. ne blöde Frage, aber ich kenn mich da leider nich aus?
-mir wäre es nämlich auch lieber admin zu bleiben

 

[Lua]

wieso muss man das vor nem Update wieder zurückschieben? -mir wäre es nämlich auch lieber admin zu bleiben

Da die Routinen (scripte) die während des Update-Prozesses ablaufen die System- und Programmordner an bestimmten Stellen zu finden (Pfaden) erwarten. Ansonsten hagelt es Fehlermeldungen.

Und keine Panik: ist wirklich kein grosser Unterschied wenn du mit einem "normalen" user arbeitest und ausserdem nur so kommst du ab und zu mal in den Genuss der exzellenten Würfelgrafik beim schnellen Benutzerwechsel.

 

[wegus]

Also vom Verschieben halte ich auch wenig bis nichts! Wer gar allzuviel Panik hat, kann sich ja ein .profile-Datei in seinem Home-Verzeichnis anlegen und dort ( ist ne Art Startdatei für die Shell) nen Editor starten (also z.B. vi eintragen). Ab dem Zeitpunkt lädt JEDE gestartete Shell des users das Terminal und startet den vi. Alle Zeichen gehen also in den Texteditor. Wer die Shell verwenden will, muß den vi explizit verlassen.

 

[Friek]

ja das mit dem Terminal verschieben scheint mir auch nur eine sehr kurzfristige Lösung des Problems zu sein...vielleicht geht der nächste exploit dann über den finder usw. - man weiß es ja nicht! trotzdem vielen Dank! Mich stört das schon auch alles recht! Bin halt in ein bisschen zwischen sicherheit und bequemlichkeit hin und her gerissen! Aber wenn ihr sagt admin und standard macht kaum einen unterschied in sachen bequemlichkeit werd ich das machen! Wie ist das denn beim installieren? muss ich dann nur mein kennwort eingeben, oder muss ich in mein admin-Konto wechseln?

 

[ostfriese]

ein nicht-admin profil zu benutzen schützt einen doch auch nicht vor diesem exploit
habe das heise demo mit einem nentsprechenden konto getestet und das script wird doch trotzdem ohne nachfrage ausgeführt

 

[Friek]

ja aber du hast als admin halt auch noch auf andere ordner vollzugriff als nur auf dein homefolder als "normal" benutzer

 

[performa]

Das mit dem Weiterverschicken von Windowsviren ist auch relativ, da ja unter OSX derartige selbsttätige Verschickroutinen beispielsweise an das komplette Adressbuch nicht greifen.

Wieso? Gerade das bezweifle ich. Gerade unter OS X ist das Adressbuch doch elegant mit dem System "verzahnt". Denke dabei an folgenden Beitrag:
https://www.macuser.de/forum/showthread.php?t=152050&page=1&pp=15

Grundsätzlich läßt sich nichts ohne Adminpaßwortabfrage installieren.

Die Frage ist, ob ich überhaupt irgendetwas "installieren" muß. Außerdem darf ich das als User mit Admin-Rechten ja, und die Schwachstelle hatten wir auch erst vor kurzem.

PS: Ohne Dir nahetreten zu wollen: aber könntest Du es bitte lassen, direkt auf das Heise-Script zu verlinken? Der Link zum Artikel dürfte reichen.
Auch das gehört irgendwie zum Thema: nicht einfach irgendwelche Dateien anbieten, die sofort loslegen.
der Nächste sagt auch: hier heise.jpg - hat es manipuliert, es liegt wo anders… und wir haben ein Problem.

Klar, verstehe ich. War eine spätnächtliche Unachtsamkeit. Kommt nicht wieder vor, sorry.

ja aber du hast als admin halt auch noch auf andere ordner vollzugriff als nur auf dein homefolder als "normal" benutzer

...und als Normaluser dürften die wertvollsten Daten sowie im Home-Ordner liegen...