Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kaspersky: Nur noch 30.000 Macs mit Flashback infiziert

Je nach Statistik sollen mehr als 600.000 Macs mit dem Flashback-Trojaner infiziert gewesen sein. Der Flashback-Trojaner gibt sich als Installationspaket des Flash Players aus und täuschte damit ganz offensichtlich sehr viele Anwender. Ausgenutzt wurde eine Sicherheitslücke in Java, die Apple inzwischen schloss. Für Systeme ohne Java gab Apple zudem ein Werkzeug zur Entfernung der Flashback-Malware frei. Neuen Zahlen zufolge gehen seit den Updates die Zahlen der infizierten Systeme ganz erheblich zurück. Von den über 600.000 infizierten Macs blieben vorgestern noch ca. 100.000 Systeme übrig, jetzt heißt es, dass sich der Trojaner gerade einmal noch auf 30.000 Macs befindet.
Die Freigabe der Updates sowie intensive Berichterstattung und somit Sensibilisierung der Anwender führten also zum Erfolg und die Ausbreitung von Flashback wurde erst einmal gestoppt. Zwar sind rund 30.000 Systeme mit Trojaner noch immer keine kleine Zahl, allerdings stellt dieser Wert nur noch einen Bruchteil der vor zwei Wochen errechneten Verbreitung dar. Mit OS X 10.8 Mountain Lion führt Apple zusätzliche Sicherheitsmechanismen ein, um sich gegen Angriffe zu schützen. So wird "Gatekeeper" in der Standardeinstellung nur noch Software aus dem Mac App Store und Programme mit Signatur zulassen. Manipulierte Programme haben es damit in erheblichem Maße schwerer - vorausgesetzt, der Anwender lässt Gatekeeper aktiv und deaktiviert die Funktion nicht.

Weiterführende Links:

Kommentare

claudiusw
claudiusw19.04.12 21:44
Und ich hoffe, das sich Kaspersky nicht zu sehr an uns Mac Usern bereichert hat – ein Versuch ist erlaubt.
You can­not cre­ate good ty­pog­ra­phy with Arial.
0
scrambler
scrambler19.04.12 21:45
Die Umfrage zum Thema hier im MTN Forum:

0
Gerry
Gerry19.04.12 21:46
Mit einen Wort sie wissen es selber nicht genau.
0
nowMAC19.04.12 22:00
Gatekeeper hätte hier nichts gebracht!
Ne Ne, seit Steve Jobs nicht mehr da ist....
0
scrambler
scrambler19.04.12 22:09
nowMac

Warum? (nur ein Bruchteil der MTN User ist Informatiker)
0
sierkb19.04.12 22:31
World of Apple (17.04.2012): Apple’s Flashback Lesson

Lesens- und nachdenkenswert, wie ich finde.
0
architron
architron19.04.12 22:59
@ scrambler

Gatekeeper hätte hier rein gar nichts gebracht, weil es sich um eine 'Drive-by-Infektion', respektive um einen 'Drive-by-Download' handelt.
Dabei enthalten Webseiten z.B. ein Java-Skript, welches im Browser ein Java-Applet mit einem Exploit herunterlädt.
Das kann auf einer vermeintlich vollkommen vertrauenswürdigen Seite z.B. durch kompromittierte Ad-Server geschehen, oder durch eine Infektion der Seite selbst.
Nicht, weil eine Sache gut ist, begehren wir sie. Sondern weil wir sie begehren, erscheint sie uns gut.
0
scrambler
scrambler19.04.12 23:06

"[...not opening downloaded files by default]"

Das ist die bessere Einstellung in Safari.
Also: heruntergeladene Dateien nie automatisch öffnen!

0
scrambler
scrambler19.04.12 23:09
architron:
Mir ist das klar, ich bin aber auf Präzision aus, damit das hier jeder versteht. Das ist essentiell, wie ich finde. Oder wie es andere nennen: "sensibilisierend"

Danke architron!
0
architron
architron19.04.12 23:14
@ scrambler

Leider bringt auch das nichts, es wird Code ausgeführt.
Das sieht ja nicht so aus, dass Dich der Browser nett fragt, ob Du das Image.xy herunterladen möchtest.
Nicht, weil eine Sache gut ist, begehren wir sie. Sondern weil wir sie begehren, erscheint sie uns gut.
0
scrambler
scrambler19.04.12 23:16
Moment! Dein System fragt Dich aber, ob Du etwas installieren willst. Und braucht dazu Dein Passwort
0
architron
architron19.04.12 23:17
@ scrambler

Keine Ursache.
Nicht, weil eine Sache gut ist, begehren wir sie. Sondern weil wir sie begehren, erscheint sie uns gut.
0
sierkb19.04.12 23:24
Dein System fragt Dich aber, ob Du etwas installieren willst. Und braucht dazu Dein Passwort

Nö, nicht unbedingt zwingend und nicht in jedem Fall. Das ist ja die Crux und das Perfide!
0
scrambler
scrambler19.04.12 23:31
Aber das Image wird mit der o.g. Safari Einstellung erstmal gar nicht geöffnet.

In welchem Fall braucht es kein Passwort?
0
architron
architron19.04.12 23:33
@ sierkb

Eben,
genau das ist die Crux, und anderseits ja auch Sinn und Zweck der Übung, um Schadcode über eine Lücke unbemerkt zu injizieren.
Nicht, weil eine Sache gut ist, begehren wir sie. Sondern weil wir sie begehren, erscheint sie uns gut.
0
sierkb19.04.12 23:35
architron:

+1
0
scrambler
scrambler19.04.12 23:37
archi: "Übung"
0
ma.19.04.12 23:41
architron

... weil es sich um eine 'Drive-by-Infektion', respektive um einen 'Drive-by-Download' handelt.
Dabei enthalten Webseiten z.B. ein Java-Skript, welches im Browser ein Java-Applet mit einem Exploit herunterlädt.
Das kann auf einer vermeintlich vollkommen vertrauenswürdigen Seite z.B. durch kompromittierte Ad-Server geschehen, oder durch eine Infektion der Seite selbst.

Das funktioniert nur, wenn Java und Java-Plugin eingeschaltet ist!

Deaktiviert man Java, landet jeglicher Schadcode nur im Browser-Cache und liegt da als tote Dateien. Wahrscheinlich wird das Java-Applet garnicht erst runtergeladen wenn Java deaktiviert ist.

Ist eigentlich bekannt, welche Webseiten den Schadcode verteilt haben?
0
sierkb19.04.12 23:46
Das funktioniert nur, wenn Java und Java-Plugin eingeschaltet ist!

In diesem speziellen Fall, ja. Drive-By-Download funktioniert aber ganz generell auch auf anderen Wegen. Z.B. über entsprechend präparierte Flash-Inhalte, präparierte Werbe-Banner (ggf. ebenfalls Flash), präparierte Bilder, etc. pp. im Zusammenspiel mit bestimnmten Lücken in den betreffenden Viewer- oder Render-Bibliotheken/Browsern/Plugins etc. pp.
Anschauen reicht.
0
ma.19.04.12 23:50
Was heißt "In diesem speziellen Fall".
Wenn Java deaktiviert ist, kann vom Browser kein Java-Applet angefordert werden, und logischer Weise auch nicht ausgeführt werden.
0
architron
architron19.04.12 23:50
Lieber scrambler,

sei versichert, dass ich meine Zeit wertvoller zu investieren weiß, als mich an solchen "Übungen" zu vergehen.
Ganz abgesehen davon, dass ich es überhaupt nicht könnte, geschweige denn, nur im Entferntesten ein Interesse daran hegen würde.
Somit darf ich vermuten, dass Deinerseits nun gewiss eine stabile nächtliche Seitenlage gewährleistet sein dürfte.

In diesem Sinne,
Gute Nacht
Nicht, weil eine Sache gut ist, begehren wir sie. Sondern weil wir sie begehren, erscheint sie uns gut.
0
scrambler
scrambler19.04.12 23:53
archi: Schon klar N8
0
scrambler
scrambler19.04.12 23:57
über entsprechend präparierte Flash-Inhalte, präparierte Werbe-Banner (ggf. ebenfalls Flash), präparierte Bilder, etc. pp. im Zusammenspiel mit bestimnmten Lücken in den betreffenden Viewer- oder Render-Bibliotheken/Browsern/Plugins etc. pp.

Klingt sehr bedrohlich. Wäre es da nicht interessant, das genau zu wissen? Also zumindest ein realistisches Beispiel...

0
sierkb19.04.12 23:58
ma.
Was heißt "In diesem speziellen Fall"

Die Variante von Flashback betreffend, die die gewesene Java-Lücke ausnutzt. Doch es sind ja noch andere Varianten von Flashback in Umlauf, die haken sich nicht über eine evtl. offene Java-Lücke ein, die haken sich irgendwo anders ein -- in andere evtl. vorhandene Lücken. Und andere Malware gibt es auch noch, die sich andere evlt. vorhandene offene Lücken einhaken (z.B.l Flash, WebKit, PDFLib, libpng, etc.pp.).
Und es ist ja außerdem immer noch nicht so, dass sämtliche aktuelle Java-Lücken bei sämtlichen Macs bereits geschlossen worden sind (Stichwort da z.B. imemr noch in nicht kleiner Zahl am Netz partizipierende 10.5-Systeme)...

"Gefahr erkannt, Gefahr gebannt" kann man also noch lange nicht sagen... Das dauert wohl noch ein kleines Weilchen... Derweil laufen sich dann schon mal neue Protagonisten an neuen Schadprogrammen warm und warten auf ihren großen Auftritt...
0
sierkb20.04.12 00:01
Klingt sehr bedrohlich.

Ist es im Grunde auch.
Wäre es da nicht interessant, das genau zu wissen? Also zumindest ein realistisches Beispiel...

Wenn Du mich dieser Tage bislang aufmerksam gelesen hättest und die Links, die ich in dem Zusammenhang an den entsprechenden Stellen (und auch Dir) gepostet habe, aufmerksam gelesen hättest, und mitverfolgt hättest, was da so in den letzten Wochen, Monaten und Jahren passiert ist, wüsstest Du es und würdest diese Frage jetzt nicht stellen...
0
scrambler
scrambler20.04.12 00:13
Tja mein lieber Sierkb, wenn ich die Zeit hätte...

Welche Bedrohung kommt von wo und in Kombination mit welchen Plug-Ins... ?
Kürzlich hat mir irgendjemand erzählt, das facebook picture zoom plugin wäre ein solcher Kandidat.
Kannst Du das bestätigen?

Übrigens: Gute Besserung
0
maceric
maceric20.04.12 00:14
Ihr beiden nervt.
0
sierkb20.04.12 00:23
Tja [..] wenn ich die Zeit hätte...

Du hast die Zeit, hier und in anderen Threads rumzuhängen (ich vermeide jetzt mal höflicherweise das Wort rumtrollen), dann hast Du auch die Zeit, Dich diesbzgl. wissender zu machen. Ganz schlechte Ausrede Deinerseits, sorry.
0
scrambler
scrambler20.04.12 00:27
Sierkb ist nicht nett. Und leider unpräzise.

OK. Ich bin raus. Ist Deine Bühne

0
sierkb20.04.12 00:39
scrambler:

Nimm es einfach mal so hin, Du weißt sehr genau dass und wo Du Dich arg daneben benommen hast, und damit musst Du halt umgehen und sowas dann aushalten. Face it!

Du hast mit meiner Antwort eine inhaltlich passende und themennahe Replik bekommen auf Deine gestellte Frage. Wenn Du mit der Antwort nix anfangen kannst, ist das nicht mein Problem, ich wärme extra für Dich jedenfalls hier nicht Dinge auf, die Du selber hättest nachlesen können, weil ich sie Dir teilweise direkt vor die Füße gelegt hatte oder auch in verwandten aktuellen Threads gepostet hatte, wo Du Dich ebenfalls zu Wort gemeldet hattest. Du hättest nur zugreifen müssen -- für Dein Versäumnis, Dich wissender zu machen, kann ich also nix.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.