Sicherheitslücke in OS X

Dieses Thema im Forum "Hardware" wurde erstellt von imago, 6. Juli 2003.

  1. imago

    imago New Member

    schon wieder mal ein Beitrag über eine Sicherheitslücke in OS X.... langsam wirds fad...

    http://lists.netsys.com/pipermail/full-disclosure/2003-July/010910.html

    "Schwere Sicherheitslücke in Mac OS X
    Passwortschutz des Bildschirmschoners kann umgangen und somit unbrauchbar gemacht werden
    _
    Eine neu bekannt gewordener Bug könnte die Sicherheit von Mac OS X-Systemen beeinträchtigen: Laut einer Mitteilung an die Full Diclosure-Mailing Liste lässt sich die Passwortabfrage des Bildschirmschoners des Apple-Betriebsystems umgehen, durch die Eingabe einer langen Zeichenfolge von mehr als 1.300 Zeichen kann der Bildschirmschoner zum Absturz gebracht werden, was den vollen Zugang auf die Daten des eingeloggten Benutzers / der eingeloggten Benutzerin ermöglicht.


    Laut UserInnen-Berichten in Mac-Online-Foren dürften sich auf diese Weise auch andere Mac-Anwendungen zum Absturz bringen lassen, zum Beispiel auch der Login-Dialog, was allerdings nur zu einer nicht eingeloggten Konsole führt und somit keine Sicherheitsprobleme nach sich zieht. Apple wurde laut dem Entdecker des Problems bereits über dasselbige informiert, hat bisher aber in noch keiner Form darauf reagiert."
     
  2. danilatore

    danilatore Moderatore Mitarbeiter

    > Zeichenfolge von mehr als 1.300 Zeichen

    na dann viel spass :D
     
  3. imago

    imago New Member

    ... hab ich mir auch gedacht... :)) hat sicher ein P4-user rausgefunden !
     
  4. maiden

    maiden Lever duat us slav

    Na, da werden die Apple-MitarbeiterInnen aber hoffentlich keine Mühe scheuen um das Problem offensiv anzugehen und eine Lösung finden. Wäre ja noch schöner, wenn die BürgerInnen einen RechnerInnen haben der ein Sicherheitsproblem aufweist und jeder DeppInnen einfach so mirnixdirnix auf DatenbestandInnen und DateienInnen ZugriffInnen hat und diese einsehen kann.

    Jaja, da haben die EntwicklerInnen bei Apple mal wieder MistInnen gebaut. Hätten halt besser aufpassen sollen, dann wäre so ein FehlerInnen erst gar nicht aufgetaucht.
     
  5. gratefulmac

    gratefulmac New Member

    -=-S6gunci//kb/Gq0/KoN3
    Content-Type: text/plain
    Content-Transfer-Encoding: 7bit

    >>Hi all,

    three days ago i discovered a security issue, with the last MacOSX.

    there is a way to crash the screensaver locked with password and gain
    the desktop.

    how? - you ask.
    i don't know the exact amount of characters, only that if you leave a
    key pressed for 5 minutes or more and then hit the enter key, you crash
    the screensaver and gain access to the desktop.
    you can mess the desktop and all around it (network, mail, docs,
    anything you can imagine).

    i think that this is a huge secure hole and it must be corrected.<<

    Wo steht da was von 1300 Zeichen.

    Zweite Frage:

    Ist dies auf anderen Rechnern reproduzierbar.

    Ist das nun eine generelle Sicherheitslücke oder einetwas sehr vereinzelt auftretendes Phänomen.


    PS Schön , das immer Quellen zu solchen Rumors angegeben werden.

    Die echten Sicherheitsprobleme findet man immer bei CERT dokumentiert.
    In der Regel werden solche certdokumkentierten Sicherheitsprobleme in 5 Tagen von Apple per Security Update korrigiert.
     
  6. Carsten

    Carsten New Member

    Das dauert nur wenige Sekunden. Du schreibst 13 Zeichen und brauchst nur die Shortcuts Ctrl+A und Ctrl+K zu drücken dann das ganze zehn mal mit Ctrl+Y einfügen und das ganze nochmal wiederholen und bestätigen.
    Es funktioniert aber nicht immer beim ersten Versuch und auch nicht bei jedem Rechner trotz gleicher OS X Version.
     
  7. danilatore

    danilatore Moderatore Mitarbeiter

    > Ctrl+A und Ctrl+K

    was soll das denn bitte sein? mit deiner rechnung komme ich nicht mit.
     
  8. Carsten

    Carsten New Member

    Das sind Emacs Shortcuts um Zeilenweise zu kopieren und einfügen.
     
  9. danilatore

    danilatore Moderatore Mitarbeiter

    aha,

    "Emacs Shortcuts" .... nie gehört.


     

Diese Seite empfehlen