Sicherheitslücke in X schliessen....

Dieses Thema im Forum "Software" wurde erstellt von Kate, 24. Mai 2004.

  1. Kate

    Kate New Member

    ..geht so:


    Apples Updater vom Wochenende schliesst nur EINE von vielen Lücken. Auch das bekannte Unsanity Tool "Paranoid Android" lässt in der Version 1.1 ftp: offen, was ebenfalls eine Lücke hat.

    Bisher kann man selber folgendes tun:

    1. Das Unsanity Tool nutzen und manuell ftp: und andere Protokollhelfer blockieren (dazu gleich mehr)
    2. oder eben alle kritischen Protokollhelfer manuell blockieren.
    ***UPDATE*** Das reicht im Moment auch NICHT! Das Unsanity Tool wird gebraucht!!! ***UPDATE***

    Die Protokollhelfer kann man mittels eines Hilfprogrammes blockieren:
    http://www.rubicode.com/Software/Bundles.html#RCDefaultApp

    RCDefaulltApp ist eine SystemPrefPane und gehört unter /Library/PrefPanes

    Dann kann man die Protokollhelfer in der Rubrik "URLs" für ftp: , disk:, disks:, telnet:, afp:, itms, itmss usw. auf <none> setzen.


    Apple hat da richtigen Mist gebaut.
    ***UPDATE***UPDATE***
    Im Moment schaut es so aus, als ob in X der ganze Mechanismus des URI Handlings umgeschrieben werden müsste. Selbst gefakte URIs sind möglich! Die werden doch tatsächlich vom System einfach mal so registriert, also sowas wie z.B. DuMMbeutel: an Stelle von ftp: klappt!!! Und über DuMMbeutel: kann ich dann Code ausführen lassen. IRRE!


    Zum testen ob man "sicher" ist siehe:

    http://ozwix.dk/OpnAppFixer/testit.html
     
  2. Trapper

    Trapper New Member

    Sollte man da alle Einträge in der Liste "URLs" auf disabled stellen, oder nur bestimmte?
     
  3. Kate

    Kate New Member

    Nach dem aktuellen Wissenstand die, die ich genannt habe.
    Ich hab probiert über andere Protokollhelfer einzubrechen, aber es scheint bisher nur bei diesen* zu klappen.

    *..es muss aber dazu verhindert werden, dass Safari in seinen Einstellungen sogenannte "sichere" (HÄH?) Dateien automatisch öffnet. Das Häkchen entfernen.
     
  4. Trapper

    Trapper New Member

    Ok, danke.
     
  5. gratefulmac

    gratefulmac New Member

  6. Kate

    Kate New Member

    Ich fürchte, dass Apple diese Lücke nicht ernsthaft durchdacht hat, sonst wären sie nicht mit diesem simplen "Fix" herausgekommen. Die Lücke, ich nenne das eher DAS LOCH, ist schon seit Monaten bei Apple bekannt. Zeit genug.
     
  7. macstone1

    macstone1 New Member

    Hi,
    ich habe gerade die "Tests" durchlaufen lassen, aber Netbarrier blockiert alle Lücken ohne Probleme. Nur wenn ich die Test.dmg runterlade, anklicke und dann noch extra öffne bekomme ich das "Secuity-Loch" angezeigt. also scheint Netbarrier hier das Problem irgendwie abzusichern.
    H.
     
  8. curious

    curious New Member

    muss 'ssh' mit Default App in den URL's nicht auch 'disabled' werden?
     
  9. Tambo

    Tambo New Member

    Kate, danke für Deinen thraed

    da ich ds Thema nicht immer verfolge, mal einebanale Frage

    - Zusammenhang Safari -X- loch??
     
  10. Kate

    Kate New Member

    nö, soweit bekannt nicht. Anscheinend gibt es keine Möglichkeit dem ssh-Helper irgendwelchen ausführbaren Code unterzujubeln, aber du kannst es abschalten wenn du es nicht brauchst.
     
  11. Kate

    Kate New Member

    Ja, das betrifft auch Safari, klappt aber auch mit anderen Browsern, sofern die den URI Mechanismus des Systems verwenden. Opera macht da z.B. eine Ausnahme, da es nicht alle URI Protokolle unterstützt, also nicht alle diese Lücken öffnet. Aber eine reicht ja auch schon.
     
  12. curious

    curious New Member

    ...und weiter gehts (leider!)...heute wirds empfohlen :crazy:

    http://www.macnews.de/index.php?_mcnpage=52886

    Das Sicherheitsportal Insecure.ws hat eine weitere Sicherheitslücke im Zusammenhang mit dem URL-Handling in Mac OS X festgestellt. Laut Advisory (samt Demonstration) ist es möglich, auch in der URL-Form "ssh://" Terminal-Kommandos zu übergeben. Dabei sind Shell-Befehle ausführbar, zudem ließen sich im Zusammenhang mit anderen Sicherheitslücken auch Programme aus dem Web starten. Das Problem lässt sich umgehen, in dem man "ssh://" auf andere Programme umleitet (etwa TextEdit) oder Paranoid Android 1.0 einsetzt, das vor dem Problem warnt. Das "ssh://"-Problem erinnert an die "telnet://"-Lücke - auch hier ließen sich Shell-Befehle übergeben. Apple ist über die "ssh://"-Lücke informiert worden; die Empfehlung, "ssh://" abzuschalten, gab es schon länger.
     
  13. curious

    curious New Member

    @ KATE


    ...reicht es bei den kritischen URLS eigentlich das Protokoll umzuleiten? Heisst das, das die Dienste weiterhin auf dem Mac verfügbar sind, aber das Sicherheitsrisiko ausgeschaltet wird?

    Oder solllte man komplett 'disablen', wie es halt auch meistens empfohlen wird???



    gruß,
    curious
     
  14. Kate

    Kate New Member

    Ja.
     
  15. curious

    curious New Member

    Thanks!
     
  16. Thunderblade

    Thunderblade New Member

    Hm also mit einer einfachen fake URL wie Test:// kommt bei mir lediglich die Fehlermeldung das Safari mit test:// nix anfangen kann.

    Das autmoatische Mounten vom dmg oder ftp remote directories etc kann natürlich schon zu einem Problem werden.
     
  17. Kate

    Kate New Member

  18. Thunderblade

    Thunderblade New Member

    *g* das ist mir schon klar, ich war nur zu faul was sinnvolles hinzuschreibseln ;) Auf der Seite war ich schon, aber was hinter den dortigen Links liegt ist bewirkt bei mir, wie gesagt, nur eine Fehlermeldung. Wobei das schon komisch ist, eigentlich sollte in der Tat ja eine Adressierung in das gemountete Image via Test:// möglich sein. Hm.
     
  19. MacBelwinds

    MacBelwinds New Member

    Dieses SystemPref-Tool hat aber einen Haken: die Rückkehr zum Ausgangszustand soll zumindest im Bereich "Extensions" teilweise unmöglich sein. Wie steht es damit? (Man will ja nicht den "Teufel mit Beelzebub austreiben", d.h. sein System durch so ein Tool irgendwie schrotten...)
     
  20. Kate

    Kate New Member

    Ich sehe da keine Probleme.

    telnet und ssh wieder auf Terminal schalten, ftp und disk und disks auf Finder und itms, itmss auf iTunes usw.

    Natürlich sind solche Sachen ganz einfach in den Urzustand zu versetzen, wenn man ein sauberes Systembackup hat, was sowieso jeder haben sollte.:D

    Andererseits kann man die Lücke im System auch für das Unterwandern, Spam, Spoofing, oder einfach zum Würmer- und Virenverbreiten nutzen, sowie zum Löschen des Benutzerordners und mit etwas Glück von fast allem anderem auch einsetzen.:cool:

    Dafür "zahle" ich gern mit abgeschalteten URIs, die ich zu 99% sowieso nie nutzen würde, und schon gar nicht in der Art wie sie jetzt gehandhabt werden.

    Aber jedem das Seine. Man muss sich eine gewisse Unsicherheit eben auch leisten können.:tongue:
     

Diese Seite empfehlen