Sicherheitslücke ???

Dieses Thema im Forum "Hardware" wurde erstellt von BarneyFux, 8. Juli 2002.

  1. BarneyFux

    BarneyFux New Member

    Den Bericht habe ich vom Stuttgarter RZ zugeschickt bekommen.
    Was meint ihr dazu ???

    Gruss Barney

    http://cert.uni-stuttgart.de/ticker/article.php?mid=871

    [Mac/Software Update] Schwachstelle in der automatischen
    Software-Aktualisierung von Mac OS X
    (2002-07-08 14:42:51.257839+02)

    Quelle: http://cert.uni-
    stuttgart.de/archive/bugtraq/2002/07/msg00061.html

    Die automatische Software-Aktualisierung von Mac OS X fragt einmal
    pro Woche auf dem Appleserver nach neuen Versionen und installiert
    sie ggf. mit root-Rechten ohne Authentifizierung. Daher ist es
    möglich dem Betriebssystem präparierte Software zum Update
    anzubieten.

    Betroffene Systeme

    " Mac OS 10.1.X
    " möglicherweise Mac OS 10.0.X und Mac OS 9.X

    Einfallstor
    Durch Abfangen der Updateanfrage und Umleiten auf einen gefälschten
    Updateserver kann böswillig präparierte Software mit root-Rechten
    installiert werden.

    Auswirkung
    Ein Angreifer kann beliebigen Programmcode auf dem updatenden
    Rechnersystem ausführen.

    Typ der Verwundbarkeit
    design flaw

    Gefahrenpotential
    sehr hoch
    (Hinweise zur Einstufung des Gefahrenpotentials.)

    Beschreibung
    Die Software-Aktualisierung von Mac OS X erlaubt die
    benutzerfreundliche Aktualisierung des Betriebssystems und
    mitgelieferter Programme. In der Standardeinstellung fragt diese
    Funktion einmal pro Woche auf dem Appleserver (swscan.apple.com)
    nach neuen Versionen und installiert sie ggf. automatisch mit
    root-Rechten. Diese Funktion benutzt HTTP als Protokoll ohne jede
    Authentifizierung! Daher ist es möglich mit gängigen DNS
    Spoofingtools die Updateanfrage auf einen gefälschten Updateserver
    umzuleiten und dem Betriebssystem präparierte Software zum Update
    anzubieten.

    Workaround
    Deaktivieren Sie die automatische Software-Aktualisierung:

    " Apfel-Menü|Systemeinstellungen|System|Software-Aktualisierung
    " Wählen Sie unter Software aktualisieren "manuell" aus.

    Gegenmaßnahmen
    Bislang liegt kein Patch von Apple vor.

    Weitere Information zu diesem Thema

    " Mac OS X Exploit: PhantomUpdate (RussellHarding.net)
     
  2. Spanni

    Spanni New Member

    Das prob. ist doch im prinzip gelöst indem man SA automatisch deaktiviert!
     
  3. mikrokokkus

    mikrokokkus New Member

    Also ich musste bis dato noch bei jeder Installation per Software-Aktualisierung ein admin-Passwort zu Fuß eingeben&
    Ich weiß nicht, wo da die Sicherheitslücke liegen soll?
    Wenn es aber natürlich jemand schafft, mir vorzugaukeln, ich könne ein Update von Apple kriegen und in Tat und Wahrheit handelt es sich um Böses, dann bin ich natürlich schon gearscht. Das hat aber mit der Automatik wenig zu tun!
     
  4. 2112

    2112 Raucher

    Zitat:
    Gefährliche Hintertür in Software-Aktualisierung von Mac OS X?
    Wie der Hacker Russel Harding auf seiner Website beschreibt, kann die Funktion Software-Aktualisierung in Mac OS X dazu missbraucht werden, um über das Internet in das System einzudringen. Da sich das Programm Software-Aktualisierung zwar mit einem bestimmten Server bei Apple verbindet, aber dessen Echtheit nicht nachprüft, kann dieser Server von anderer Stelle mit bestimmten Tools "simuliert" werden, und so Software via Software-Aktualisierung aktiv anbieten. Bei der Anzeige der "neuen Software von Apple" muss der Anwender den Download von Updates zwar manuell bestätigen, kann aber nicht sehen, ob das "Update" auch tatsächlich von Apple kommt.
    Ein von Russel Harding beschriebener Exploit tarnt sich als Sicherheits-Update und ermöglicht die Anmeldung von beliebigen Usern auf dem betroffenen Mac OS X-System. Die Universität Stuttgart, die das Problem als sehr gefährlich einstuft, empfiehlt, die automatische Suche nach Updates via Software-Aktualisierung auszuschalten und nur noch gezielt nach neuen Updates zu suchen. Software-Updates von Apple sind auch in der AppleCare KnowledgeBase unter http://kbase.info.apple.com/ verzeichnet und von dort herunterladbar. Ein Patch von Apple zur Behebung des Problems ist noch nicht veröffentlicht worden. (ms)
     
  5. DonRene

    DonRene New Member

    ich versteh das ganze problem nicht. ohne rootpw geht doch bei swa garnix. und die swa ist so eingestellt das sie den appleserver kontaktiert.
    hat der typ das denn ausprobiert? oder vermutet er das nur?
     
  6. MacELCH

    MacELCH New Member

    Das Problem liegt darin, dass Du glaubst auf dem Appleserver zu sein, wenn Dir Software ueber SA angeboten wird. Durch DNS Spoofing Tools koennte man aber seinen eigenen Server dazu benutzen vorzugauckeln, man selbst waere der Apple Server.
    Wenn Du dann irgendein Bla Bla Update downloads und per Admin PW auf Deinen Rechner installierst, kann es sein, dass diese neu installierte Software eine Tuer fuer jemanden oeffnet.

    Gruss

    MacELCH
     
  7. goldfinger

    goldfinger New Member

    Das Problem ist folgendermassen:
    Wenn jemand per Softwareaktualisierung sein System updaten will benutzt er die Funktion. Der Rechner verbindet sich mit einem Apple Server.
    Hier wird das Update downgeloadet. Irgendwann kommt die Admin-PW Abfrage.
    Nach dieser Abfrage wird das Update mit Root Rechten installiert.
    Und das ist das "anscheinende" Problem.
    Denn niemand kann nachvollziehen bei welchem Rechner sich osx das Update holt.

    Fakt ist:
    Jemand müsste entweder den Apple-Server hacken und dort die Updates manipulieren. Oder er muss den DNS Server hacken und eine Umleitung vornehmen und hier wieder ein gefälschtes Update vortäuschen. Letzte Möglichkeit wäre den lokalen Rechner direkt manipulieren. (Aber da wäre eh alles zuspät)

    Mich wundert das das nochniemand bei MS bemängelt hat.

    Wenn man dieser Panikmache Glauben schenkt darf mann nie wieder:
    -einkäufe über das Internet tätigen.
    Selbst wenn man bei einem Anbieter seine Daten SSL verschlüsselt eingibt, ist es möglich das ein Hacker im Besitz des ssl-zertifikat ist und die Verbindung mitlauschen kann.
    - Internetseiten besuchen.
    Hier ist es möglich viren oder trojaner zu empfangen.
    - Irgenwelche DVDs oder Cds in seinen Computer reinstecken.
    Eine CD oder DVD könnte durch einen MA manipuliert sein und beim starten der DVD könnte ein Trojaner oder Virus installiert werden.
    - Den MAC aus den Augen lassen.
    Ein Einbrecher könnte, solange man außer Haus ist, den Rechner manipulieren.

    Also Freunde, nehmt eure Macs mit zur Arbeit, ins Freibad,(Auch hier den MAC mit ins Wasser nehmen.>>Marktlücke Neopren Anzüge),ins Kino, in die Disco, zum Einkaufen, zum Skifahren und und und...

    Den Mac einem Sicherheitsdienst überlassen der solange aufpasst?
    Niemals, den der könnte den Mac auch manipulieren.

     
  8. xena2

    xena2 New Member

    Ich denke Apple hat das Problem erkannt und die URL  Apple.de  gleich mal abgeschaltet
    ;-)))))))))))
    xenja
     
  9. gratefulmac

    gratefulmac New Member

    Wie groß ist eigentlich die Gefahr,das ich mir von VT ein Programm lade,welches Schaden am Rechner anrichten kann?

    Es gibt soviel Tools die einem Funktionen freischalten,die sonst direkt nur über das Terminal als "Root" ausführbar sind.
    Wer hat bisher nachgeprüft,ob die alle koscher sind?

    Gefahr ist also immer vorhanden.
     
  10. SRALPH

    SRALPH New Member

Diese Seite empfehlen