1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Potentielle Sicherheitslücke

Dieses Thema im Forum "macOS & OS X" wurde erstellt von KayHH, 24.09.07.

  1. KayHH

    KayHH Gast

    Moin apfeltalker,

    heise berichtete gerade über eine Schwäche in Windows Vista.

    Ich habe das ganze (und wie ich inzwischen auch feststellen musste der User g-kar ebenfalls) mal unter OS X ausprobiert.

    Man erzeuge per „touch \342\200\256gpj.\342\200\255Bild.app“ im Terminal eine Datei. Die Steuercodes „\342\200\256“ und „\342\200\255“ (Unicode 202e und 202d) müssen per Zeichenpalette eingefügt werden. Es wird dann eine Datei angelegt welche Bild.app.jpg heißt. Hat man den Finder so eingestellt, dass die Dateiendungen nicht angezeigt werden zeigt er „Bild.jpg“ an. Führt man einen Doppelklick darauf aus, versucht er das Programm welches sich als jpg tarnt zu starten, was in diesem Beispiel natürlich nicht funktioniert. Würde man diese Technik jedoch mit einem echten Application-Bundle durchführen, so wäre dies eine durchaus ernst zu nehmende Sicherheitslücke.


    KayHH
     
  2. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Eher nicht, da zu systemrelevanten Änderungen eine Admin-Berechtihung fehlt. Wenn er die beigibt, der Nutzer, kann er sich so ein rootkit einfangen. Macnutzer werden ja darauf trainert überall auf ihren sicheren Systemen mit ihren Passwörtern um sich zu schmeißen und die Hintergründe nicht zu beachten.
     
  3. Alferd

    Alferd Auralia

    Dabei seit:
    19.05.05
    Beiträge:
    202
    Allerdings dürfte unter OS-X selbst bei einem als Admin angemeldeten User eher nicht viel gravierendes passieren, oder? Programme installieren, Systemeinstellungen ändern usw. erfordert ja fast immer das Passwort.
     
  4. KayHH

    KayHH Gast

    Och, das Application-Bundle löscht nur alle Deine Dateien. Wie alt war doch gleich Dein Backup?


    KayHH
     
  5. Bier

    Bier Pomme au Mors

    Dabei seit:
    24.08.07
    Beiträge:
    867
    Wie bereits gesagt, wer mit Admin Rechten um sich schmeißt, braucht sich über gar nichts wundern. Der Modus Nutzermodus hat seinen Namen berechtigterweise.
     
  6. KayHH

    KayHH Gast

    Wenn die Userdateien weg sind, ganz ohne Adminreche, ist das schon schlimm genug, wenn man keinen Backup hat. Ich könnte mir da aber auch noch andere Dinge vorstellen. Evtl. ist es möglich bei aktiviertem FUS das Adminpasswort zu keyloggen. Nicht umsonst empfiehlt Apple FUS in sicherheitskritischen Bereichen auszuschalten.


    KayHH
     
  7. pluke

    pluke Stechapfel

    Dabei seit:
    06.02.05
    Beiträge:
    163
    und wenn man das system so eingestellt hat, dass dateiendungen ausgeblendet werden, würde mich eine "bild.jpg" doch stutzig machen: "wieso steht da nicht nur 'bild'?"
     
  8. KayHH

    KayHH Gast

    Dann geh mal in Dein Bilderverzeichnis und ändere die Einstellung zum Anzeigen der Dateiendung.


    KayHH


    Nachtrag: Bei mir sieht das so aus.
     

    Anhänge:

  9. pluke

    pluke Stechapfel

    Dabei seit:
    06.02.05
    Beiträge:
    163
    bei dem zweiten bild stört mich was: müsste ein "schadprogramm" nicht "Bild.jpg.app" heißen, damit das system es als application erkennt und bei ausgeblendeter dateinamenerweiterung nur "Bild.jpg" anzeigt (weil das .app ausgeblendet wird)?

    <Bild.app.jpg> != <Bid.jpg.app>

    ersteres: JPEG mit dem namen "Bild.app"
    zweiteres: Application mit dem namen "Bild.jpg"

    und dass man bei ausgeblendeter dateinamenerweiterung für einzelne dateien diese ausblendung deaktivieren kann (die gif-datei: da wird dann .gif angezeigt) erhöht dann ja die sicherheit: normal steht nichts da und wenn was steht ist es entweder eine versteckte .app oder jemand hat die dateinamenerweiterung explizit für die datei angeschaltet (warum auch immer). aber dann kann man ja über apfel+i nachgucken

    wenn da jetzt meinerseits ein gedankenfehler vorliegt, bitte ich das zu entschuldigen. kann das im moment nicht so nachvollziehen mangels mac. bin auf jeden fall neugierig
     
  10. KayHH

    KayHH Gast

    Es liegt ein Gedankenfehler vor. Schau dir noch mal den heise-Artikel an. Der Witz liegt darin, das ich im Namen zwei mal die Schreibrichtung von rechts nach links bzw. links nach rechts umschalte. Die Darstellung im Finder (und in unseren Köpfen, die es gewohnt sind von links nach rechts zu lesen) weicht somit von der tatsächlichen Benennung ab. OS X hält das ganze für ein Programm. Das Bildicoon habe ich der Datei ganz normal per Info-Dialog untergejubelt. Würde ich das nicht machen, hätte die Datei das Icon eines Programms. Einem Application-Bundle steht das natürlich auch offen.

    Denkbar wäre du klickst auf das Icon, dass Programm startet, macht was böses und übergibt ein jpeg an die Vorschau. Du denkst alles läuft wie erwartet, aber so ist es nicht.


    KayHH
     
  11. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Nein, denn es wäre eine für OS X neue .app, die bisher noch nicht gestartet wurde; daher würde der Dialog "Wollen Sie Programm xy wirklich zum ersten Mal starten?" erscheinen.
     
  12. KayHH

    KayHH Gast

    Gilt das nicht nur für Programme mit GUI?


    KayHH
     
  13. Peter Maurer

    Peter Maurer Carmeliter-Renette

    Dabei seit:
    16.03.04
    Beiträge:
    3.274
    Ich dachte immer, diese Meldung erscheint nur, wenn man ein Dokument per Doppelklick oeffnet und das entsprechende Programm sich daraufhin erstmalig oeffnet. So ist jedenfalls meine Erfahrung.
     
  14. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Möglich, aber ich meine mich zu erinnern, daß OS X immer darauf hinweist, daß es sich wider Erwarten um eine ausführbare Datei oder Skript handelt, wenn man etwas startet, was man runtergeladen hat und dann öffnet, was aber nicht nach etwas Auführbarem aussieht.
     
  15. KayHH

    KayHH Gast

    Ein Application-Bundle sieht aber nach was Ausführbarem aus. Ich glaube Peter hat recht, die Meldung kommt nur, wenn man auf eine Datei klickt und ein frisch damit verbundenes Programm geöffnet werden soll.

    Tja, also ich warte immer noch auf jemanden der schlüssig argumentieren kann das das ganz harmlos ist. Ich halt's immer noch für ein Problem, für das ich allerdings auch keine Lösung habe. Unicode in Dateinamen wollen wir und Angehörige anderer Schriftsysteme erst recht haben. Das Umdrehen der Schreibrichtung kann man auch nicht weglassen, weil dann alle arabischen Sprachen im Regen stehen. Dort wird von rechts nach links geschrieben, Zahlen jedoch von links nach rechts. Was also tun?


    KayHH
     
  16. Peter Maurer

    Peter Maurer Carmeliter-Renette

    Dabei seit:
    16.03.04
    Beiträge:
    3.274
    Dateiendungen anzeigen lassen und den Kopf einschalten. So mach' ich's zumindest. :)
     
  17. MacMark

    MacMark Biesterfelder Renette

    Dabei seit:
    01.01.05
    Beiträge:
    4.709
    Probier das mal mit einer normalen .app aus: Der Finder hängt automatisch ein .app dran bzw. dazwischen, wenn die Endung manipuliert wurde.

    Edit:
    Kriegst Du es hin mit einer echten App, daß OS X kein ".app" reinhängt gegen Deinen Willen?
     
    #17 MacMark, 25.09.07
    Zuletzt bearbeitet: 25.09.07
  18. Mexortus

    Mexortus Jonagold

    Dabei seit:
    29.08.07
    Beiträge:
    21
    Wird dieses Loch Leopard mit der Time Machine nicht stopfen?
     
  19. KayHH

    KayHH Gast

    Das war ja nur ein Beispielszenario. Gegen verlorene Daten helfen Backups natürlich immer.

    @MacMark: Das mit der App umbenennen probier ich mal aus.


    KayHH
     
  20. KayHH

    KayHH Gast

    So, ich hab's ausprobiert, die Datei „Bild.jpg“ (eigentlich „Bild.app.jpg“) öffnet sich als ganz normale Anwendung (habe TextEdit mal kurz missbraucht). Das Einblenden des Suffix zeigt zwar wie vorher auch schon „.app“ an (nicht am Ende) und OS X fügt da auch gar nichts weiter hinzu. Das Problem bleibt also bestehen.


    KayHH
     

Diese Seite empfehlen