Archiv aus der Kategorie security

mac / security / widgetkommentieren
20
Mai 05

Nix Evil mehr II

Aaron, der Autor des sog. Evil-Widgets, sieht die Sicherheitslücke, mit der die Standard-Widgets von OS X durch fremde Widgets mit selben Dateinamen ersetzt werden konnten, mit 10.4.1 als erledigt an. Er schreibt per Mail:

Anyway, the initial Safari prompt more or less satisfies me, so I’ll consider the matter closed, I think. The auto-install and widget-replacement still seem like bad ideas, but the security flaw per se is resolved, I guess.

Das Ausführen von binärem-Code aus einem Widget soll allerdings weiterhin möglich sein. Letzteres konnte ich aber bisher nicht reproduzieren.

Tipp: Um diese Sicherheitslücke des Widget-Replacements grundsätzlich zu umgehen, einfach die Standard-Widgets vom Ordner /Library/Widgets in die User-Library-Ordner $HOME/Library/Widgets kopieren. Einige Widgets müssen anschließend zwar neu auf das Dashboard gezogen werden, aber heruntergeladene Widgets mit den selben Dateinamen bleiben ab sofort inaktiv auf dem Desktop zurück.

mac / security / widgetkommentieren
17
Mai 05

Nix Evil mehr

Nach dem Update auf Mac OS X 10.4.1 lassen sich keine Widgets im Ordner ~/Library/Widgets mehr durch “böse” Widgets überschreiben. Letzeres war mit 10.4.0 noch möglich.

Update: Das “Überschreiben” von Widgets aus dem System-Library-Ordner mit Widgets, die unter dem selben Dateinamen in den User-Library-Ordner gespeichert werden, ist nach wie vor möglich. Das Dashboard zeigt bei dieser Konstallation nur die Widgets aus der User-Library an.
Der iFrame, der bei dem Link oben das Widget im Hintergrund lädt, funktioniert bei meinem Safari einfach nicht (mehr).

Geändert wurde aber, dass vor der Installation von Widgets beim Download gewarnt wird, auch wenn “Sichere Dateien nach dem Laden öffnen” ausgewählt ist.

mac / security / widgetkommentieren
12
Mai 05

Widget Security

Und wieder leckt sich die FUD-Fraktion die Zähne: Dashboard-Widgets seien das ActiveX für OS X, mithin eine microsoftsche Sicherheitslücke ohnegleichen. Ein Blick in die Wikipedia lichtet den FUD-Fog jedoch: ActiveX führt von Haus aus binären Code aus.

Allen Paranoiden sei daher nun ein Ctrl+Klick auf ein Widget zum Anzeigen des Paketinhaltes empfohlen. Wer dort binären Code findet, darf ihn reverseengineeren oder behalten.

„shiftzwei weißt netterweise darauf hin, wie man mit den OS X-Ordneraktionen seinen Library/Widgets/-Ordner überwachen lassen kann. Im Repertoire der Bordmittel von Tiger befindet sich ein durchaus passendes add - new item alert.scpt

Landet im Widget-Ordner eine neue Datei, wird der User darüber nett informiert. Spätestens dann gilt: Die Entscheidung liegt bei uns, den Usern.

geek / mac / securitykommentieren
26
Apr 05

Registry?

Der britische Security-Experte Sophos hat nach eigenen Angaben den ersten Trojaner für Mac OS X aufgespürt. “Mac/Cowhand-A” installiert sich automatisch durch einen Eintrag in der Registry und öffnet ein Hintertürchen auf Apple-Rechner. Dadurch soll er laut Sophos Zugriffe über das Netzwerk ermöglichen. Weiters kann der Mac anschließend als Proxy “missbraucht” werden.

Erfunden von pressetext.at. Via IT&W. Scheint quasi ein Textbaustein für neue Viren zu sein. Passt für OS X aber nicht so ganz … Und: nein, es gibt keinen Virus oder Trojaner für OS X. Immernoch nicht.

mac / securitykommentieren
30
Dez 04

OS X Insecurity

Angelo Laub hat in seiner Präsentation auf dem 21c3 (via fscklog) sechs Sicherheitslücken in OS X demonstriert. Im einzelnen nennt er:

  • Steigerung der User-Rechte über die Systemeinstellungen
  • Falsche Rechte auf den StartupItems
  • Klartext-Passworte in der Auslagerungsdatei
  • DOS-Verwundbarkeit durch Personal Filesharing
  • Mach Injection und
  • die bekannten getarnten Executables

Grund genug, einen genaueren Blick auf die einzelnen Punkte zu werfen:

Die getarnten Executables – also Programme mit dem Symbol eines Dokuments zählen dem Grunde nach nicht als Sicherheitslücke.

Gegen das Problem, dass Preference-Panes so ziemlich alles mit einem Mac machen können, hilft erstmal ein Haken in Systemeinstelungen: Sicherheit: »Für das Freigeben jeder geschützten Systemeinstellung ein Kennwort verlangen«. Diese privilege escalation vulnerability wurde von Angelo Laub an Apple gemeldet, eine Reaktion steht bisher aus. Nicht ganz elegant an dieser Stelle, sowohl von Laub als auch von Apple.

Malware könnte durch inkonsistente Rechte auf dem Ordner /Library/StartupItems bereits beim Booten gestartet werden. Diese Gefahr kann durch Einfügen von z. B. chown -R root:wheel /Library/StartupItems in /etc/rc oder /etc/daily reduziert werden. Dies ist allerdings nur ein Workaround. Jeder Installer darf die Rechte wieder ändern. Warum das Festplattendienstprogramm diese Rechte nicht reparieren kann, bleibt als Frage an Apple offen.

Die Klartextpasswörter in der Auslagerungsdatei sollten als mediumkritisch betrachtet werden. Sie lassen sich nur mit Admin-Rechten einsehen.

Auch die Denial-Of-Service-Verwundbarkeit des Personal-Filesharings ist keine wirkliche Gefährdung. DOS-Attacken über das Vollschreiben von Festplatten sind eher in Gigabit-Netzen gefährlich, jedoch nicht im derzeit einstelligen Megabit-Internet. Der Gast-Account, der stets Dateien in den Ordner /Öffentlich/Briefkasten/ schreiben darf, lässt sich durch die Änderung des Key guestAccess von true/ auf false/ in der Datei Library/Preferences/com.apple.AppleFileServer.plist deaktivieren.

Ganz und gar nicht lecker ist jedoch, dass es Laub gelungen sein soll, Programm-Code zur Laufzeit in beliebige Programme einzuschleusen – ohne Buffer-Overflow etc. Die Objective-C Runtime Library lässt den Austausch von ganzen Methoden zu, auch wenn der Source Code nicht bekannt ist. Davon betroffen sind sämtlich OS X Programme, z. B. der Finder oder Safari. Erschreckend an dieser »Mach Injection« ist, dass sie vollständig ohne Root-Rechte auskommt und ohne Kennworteingabe in der Benutzerumgebung funktioniert.
Harmlose Programme lassen sich offenbar um unerwünschte Funktionen erweitern. Damit ist ein perfekter Nährboden für »wirkliche« OS X-Viren gegeben. Einen Proof-of-Cocept-Wurm hat Laub im Rahmen seiner Präsentation bereits gezeigt, der entsprechende Source-Code soll lt. Laub »soon available« sein.

In Verbindung mit den anderen, von Laub aufgezeigten o. g. Schwachstellen, ergibt sich eine erhöhte Gefährdungslage für alle OS X-Rechner, wenngleich auf einem abstrakten Niveau. Sollte Laubs Demo-Wurm vor einem entsprechenden Update – wobei eine überarbeitete Objective-C Library nicht mal eben vom Himmel fallen wird – von Apple verfügbar werden, ist aber eine konkrete Gefährdung nicht auszuschließen.

security / windowskommentieren
30
Aug 04

Ms_europe@hotmail.com

Letzten Mittwoch bei Microsoft einen Patch erbeten, der noch nicht durch die Qualitätssicherung durch ist. Seit XPSP2 kennt Windows nur noch die 127.0.0.1 aus dem local loopback range. Alle anderen 127er sind ausgeschaltet, obwohl das Netz 127.0.0.0/8 heißt. Sehr standardkonform, übrigens. Und sehr klasse für unternehmensweite genutzte SSL-VPN-Clients.

Am Freitag kam dann die Eingangsbestätigung für meine Anfrage. Heute dann eine Mail von der Adresse Ms_europe@hotmail.com (!!!) mit einem Link zum Laden des Patches. Einzig meine Case-Nr. fand ich vertrauenswürdig.

Muss man jetzt einer Hotmail-Adresse trauen, um Patches auf Produktivsysteme zu installieren??? Die spinnen, die Redmonder. Echt.

MS_Germany@hotmail.com habe ich mir jetzt erstmal gesichert. Von dort werde ich mal eine Anfrage schicken, ob noch alles frisch ist …

mac / securitykommentieren
7
Jun 04

Apple und die Sicherheit

Apple versucht sich gegen den Vorwurf zu wehren, eine »Security through Obscurity«-Sicherheitspolitik zu betreiben. Nach dem Security Update 2004-05-03 und dem Update auf X.3.4 folgte heute das Security Update 2004-06-07. Ein netter Dialog fragt jetzt die Verwendung bestimmter, mit Applikationen verknüpfter Protokolle einmalig ab (Screenshot hier).

Bemerkenswert in diesem Zusammenhang ist der Satz in der Apple Knowledgebase:

Zum Schutz unserer Kunden werden Sicherheitsprobleme von Apple erst dann bekannt gegeben, diskutiert und bestätigt, wenn eine vollständige Untersuchung stattgefunden und alle erforderlichen Programmkorrekturen oder Versionen verfügbar sind.

mac / securitykommentieren
13
Mai 04

Intego-Schmintego [Update]

Virex Icon

Nein – es gibt keinen Virus für OS X. Auch keinen sog. Trojaner. Das sagt auch das CERT (via IT&W). Und Intego ist ein Saftladen. MacDailyNews nennt sie Schmintego (via fscklog). Bloß nix von denen kaufen.

Wer unbedingt einen Virenscanner haben möchte, der sollte Virex nehmen. Von McAffee. Ist auch im .mac-Accountenthalten. Virex kennt zwar nicht die
(angeblichen) Viren, vor denen Intego immer warnt, aber gerade das macht es irgendwie sympatisch.

Update: Iconfactory hat mit DownloadCheck ein Tool herausgebracht, mit dem sich Anwendungen entdecken lassen, die sich als Icon tarnen (wie z. B. MP3.Concept). IT&W veröffentlicht eine Anleitung, wie sich zahllose weitere FUD-Trojaner für Integos Panik-Marketing schreiben lassen.

mac / os x / securitykommentieren
12
Mai 04

OSX Trojaner die Zweite

AS.MW2004.Trojan

Kaum ist ein Monat Ruhe über den angeblichen OS X Virus eingekehrt, bringt Intego eine neue Warnung: ein kompiliertes Apple-Skript, dessen einzige Funktion darin besteht, das Home-Dir zu löschen, tarnt sich in Tauschbörsen als »Microsoft Word 2004 Demo«. Intego tauft den Schädling gleich eindrucksvoll
AS.MW2004.Trojan. Leider konnte :elbewerk diese Datei – entgegen der Pressemitteilung von Intego – nicht in den gängigen Tauschbörsen finden, um sie näher zu analysieren.

Allerdings soll diese Datei exakt 108 KByte groß sein und nebenstehendes Icon haben. Aber: mal im Ernst, liebe Macfreunde:
wer glaubt wirklich daran, dass die Demo für Microsofts neue Word-Version für den Mac in 108 KByte stecken könnte?

Das ganze riecht mal wieder ziemlich stark nach FUD. Was Intego hier als Trojaner verkaufen will, ist eine echte Lachnummer, die sich auf jedem Mac – und sogar effektiver unter Windows [format c:] – selbstbauen lässt. Klassische Replikationsmechanismen und andere virale Merkmale sind schlicht und einfach nicht vorhanden. An dieser Stelle sei gerne erneut auf das treffliche Posting bei Decaffeinated.org verlinkt.

Andererseits: Warum hat Cupertino diese – für Integos Marketing offenbar so wichtige – Schwachstelle im letzten Monat nicht bereits behoben?

lifehacks / securitykommentieren
7
Mai 04

Spam mit Popeln bewerfen

Spam mit Popeln bewerfenMal eben die Mailadresse angeben, um Zugang zu einem Forum, zu einem Download-Link etc. zu bekommen. Eigentlich kein Problem, gäbe es dort nicht die Spam-Mafia, die sich lippenleckend und hämisch grinsend auf Ihre Mail-Adresse stürzt, um Sie fortan mit Dreck zu bewerfen.

Jetzt können Sie zurückwerfen: mit Mailinator. Und so funktionierts: einfach eine @mailinator.com-Adresse ausdenken, z. B. Steve.Ballmer@Mailinator.com, dann auf Mailinator.com mit der Adresse (ohne Passwort) einloggen, in die Mailbox gucken und die gewünschten Infos heraussaugen.

Die Adresse wird automatisch bei Maileingang angelegt und nach ein paar Stunden inklusive aller enthaltenen Mails wieder gelöscht. Wegwerfadressen, einfach und schön.

← Ältere Einträge
Neuere Einträge →