Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Neue Varianten von Flashback und SabPab/SabPub im Umlauf

In einem Blog-Eintrag warnt Symantec vor einem neuen SabPab/SabPub-Schädling, der nicht nur OS X, sondern auch Windows zum Ziel hat. Dabei machen sich die Angreifer die systemübergreifende Kompatibilität von Java-Anwendungen zunutze, um eine passende Hintertür in das System zu integrieren. Um zunächst den plattformspezifischen Angriffscode einzuschleusen, greifen die Angreifer auf eine bekannte und mittlerweile geschlossene Java-Sicherheitslücke (CVE-2012-0507) zurück. Anschließend wird das dahinter liegende System so angegriffen, dass eine Hintertür integriert werden kann, über welche die Angreifer schließlich die Kontrolle über Computer und Daten erlangen. Anwender unter OS X und Windows können sich vor dem Angriff schützen, indem sie Java auf dem aktuellsten Stand halten.

Unterdessen warnt Intego vor einer neuen Variante des Flashback-Trojaner, welche sich ohne Administratorrechte einnistet und verschiedene Maßnahmen unternimmt, um unerkannt zu bleiben. So werden unter anderem einige Cache-Dateien nach einem erfolgreichen Angriff entfernt oder der Angriff sogar abgebrochen, wenn das System mit einer Antiviren-Software, Little Snitch oder Xcode ausgestattet ist. Offensichtlich haben hier Angreifer den unbedarften Mac-Anwender im Visier. Da Apple seit nunmehr einer Woche eine aktuelle Java-Aktualisierung an Anwender verteilt, um verschiedene Sicherheitslücken zu schließen, dürfte sich der Erfolg des Trojaners in Grenzen halten.

Weiterführende Links:
Warum Apple den GameBoy-Emulator iGBA direkt wieder aus dem Store warf
Warum Apple den GameBoy-Emulator iGBA direkt wi...
Musikdienste im Wandel
Musikdienste im Wandel
Prognosen iOS 18
Prognosen iOS 18
iOS-Tipp: Wie Sie den Download aus alternativen App-Marktplätzen von vornherein ausschließen
iOS-Tipp: Wie Sie den Download aus alternativen...
"Sie wurden Opfer eines Cyberangriffs": Apple informiert erneut iPhone-Nutzer über möglichem Einbruch
"Sie wurden Opfer eines Cyberangriffs": Apple i...
Wesentlich günstigere Apple Vision Pro auf dem Weg? Apple beschleunigt Pläne angeblich
Wesentlich günstigere Apple Vision Pro auf dem ...
MacStammbaum 10.3 erschienen – "Suche" ganz neu gedacht
MacStammbaum 10.3 erschienen – "Suche" ganz neu...
iPhone 16: Die ersten Dummy-Modelle kursieren und zeigen Details
iPhone 16: Die ersten Dummy-Modelle kursieren u...

Kommentare

Lefteous
Lefteous24.04.12 09:36
Hat jemand 'ne Anleitung parat wie man Java rückstandslos deinstalliert?
0
Gerry
Gerry24.04.12 09:43
und kann man das nicht raus bekommen wer da da hintersteckt?
0
janknet24.04.12 09:43
Wird wohl langsam Zeit das Montain Lion mit dem Gatekeeper kommt!
Dieser Virenmisst geht mir so auf die Nerven!
Viele finden ja die Apple Stores für iOS und OSX sind ne Zensur usw.., aber in Zeiten der Computerkriminalität sind sie für mich ein Segen!
0
Gerry
Gerry24.04.12 09:50
@ Janknet

Da gebe ich dir Recht, das ganze gleich auf die Schärfste Einstellung bringen.

Nur wenn es wirklich nötig ist, kurz zurück stellen und dann gleich wieder rauf.

0
tifonex24.04.12 09:52
janknet

Laut Mac&I nutzt Gatekeeper in dem Fall genauso viel wie XProtect, nämlich gar nichts, weil es auf das Flag angewiesen ist, welches Internetprogramme üblicherweise bei heruntergeladenen Dateien setzen. So dumm ist der Malware-Downloader dann doch nicht und lässt das Flag einfach weg.

0
janknet24.04.12 10:03
tifonex
naja aber stell ich den Gatekeeper hald so ein, dass nur noch Apple Store Software Zugang kriegt.
Wenn es die Entwickler nicht für nötig halten Ihre Software dort anzubieten dann haben die Pech gehabt würd ich sagen. Auch wenn der Apple Store Nachteile hat, mann muss schon auch sagen auf dem iOS gibt es null Virenprobleme!

Zusätzlich kommt doch dieses verschärfte Sandboxing wo genau festgelegt ist was eine Software machen darf.
So ein Trojaner kommt da gar nicht weit weil er einfach für nix eine Berechtigung hat.

Und ich werde ebenfalls mal verschärft testen ob ich auf Java komplett verzichten kann. Soweit ich weiß ist Flash und Java so gut wie immer Schuld am dem ganzen.
0
tifonex24.04.12 10:11
So wie ich es verstanden habe wird Gatekeeper ohne das Flag überhaupt nicht aktiv, egal was man eingestellt hat. Wenn Apple an der Funktionsweise nicht nachbessert hilft es in solchen Fällen überhaupt nichts.
0
tifonex24.04.12 10:13
Lefteous

Du kannst ja anhand der Installationsquittungen alle zu Java gehörigen Dateien löschen. Aber keine Garantie, dass du dein System damit nicht zerschießt. Bis 10.6 war Java Teil der Systeminstallation, erst seit 10.7 wird es nur bei Bedarf nachinstalliert.
0
klapauzius24.04.12 10:18
Die Fahrlässigkeit von Apple, die unbedarften, technisch i.d.R. komplett ahnungslosen Anwender zwangsweise zu UNIX-Administratoren zu machen, indem Apple ihnen ein hoch-komplexes, an der Oberfläche per klicki-bunti pseudo-vereinfachtes UNIX-System aufgedrückt hat rächt sich jetzt. Die überforderten Anwender stehen der jetzt einsetzenden Welle von Exploits für die allseits bekannten Sicherheitslücken von OS X hilflos gegenüber.

Da hilft nur eines:

http://blogausgraz.wordpress.com/2012/04/16/wechsel-von-apple-nach-ubuntu-abgeschlossen/
0
ratti
ratti24.04.12 10:19
Witzig.

Früher sagte man immer, wenn man einen Rechner KOMPLETT sicher machen wolle, dann müsse man ihn im Garten vergraben. Und das war ein Witz.

Heute vergraben sich mache Anwender in Sandboxes und im App-Knast, verzeihung, -Store, und meinen es nicht mal als Witz.

Wozu habt ihr eigentlich einen Rechner, wenn der doch Apple gehört?

…und an dem Tag, an dem jemand in den Store einbricht, mach ich ´ne Pulle Schampus auf. Einen Mac habe ich dann sicher nicht mehr.
0
Hannes Gnad
Hannes Gnad24.04.12 10:19
tifonex:
Das ist nicht richtig. Gatekeeper verläßt sich nicht auf das Download-/Quarantäne-Flag, sondern prüft in der Standard-Einstellung, ob die Anwendung/der Installer ein gültiges Zertifikat hat. Das ist eine deutlich größere Hürde für den Trojaner-Bastler, hier die öffentliche Seite dazu, Details innerhalb von developer.apple.com:

http://www.apple.com/de/macosx/mountain-lion/security.html
0
janknet24.04.12 10:22
klapauzius
Wenn der Heise Artikel stimmt hat der ab Lion selbst der Admin nicht komplette Rechte er kann diese nur kurzzeitig erlangen indem das Passwort abgefragt wird.

Lefteous + tifonex
man kann doch Java deaktivieren das dürfte reichen um geschützt zu sein. Man muss damit nicht das Risko beim deinstallieren eingehen das System zu zerschießen



Ich werde heute abend jedenfall ClicktoFlash wieder aktivieren und nochmal nachgucken ob bei mir Java ganz sicher inaktiv ist!
Deswegen frag ich hier mal wo man da genau nachschauen muss ob Java deaktiviert ist.
0
Hannes Gnad
Hannes Gnad24.04.12 10:25
klapauzius
Die Fahrlässigkeit von Apple, die unbedarften, technisch i.d.R. komplett ahnungslosen Anwender zwangsweise zu UNIX-Administratoren zu machen, indem Apple ihnen ein hoch-komplexes, an der Oberfläche per klicki-bunti pseudo-vereinfachtes UNIX-System aufgedrückt hat rächt sich jetzt.
Ubuntu ist ein hoch-komplexes, an der Oberfläche per klicki-bunti pseudo-vereinfachtes Linux-System - und heißt sogar entsprechend. Wo ist der Unterschied?

Am Rande: Die Screenshots in dem Blog sehen furchtbar aus. Ist das die Zukunft von Software? Wer kann *das* unfallfrei bedienen?
0
Hannes Gnad
Hannes Gnad24.04.12 10:27
ratti:
Wozu habt ihr eigentlich einen Rechner, wenn der doch Apple gehört?
Schön, daß Du der IT-Oberblicker bist. "The Rest of us" ist das aber eben nicht, daher ist es wichtig und richtig, daß die Betriebssysteme immer sicherer konstruiert werden, siehe Windows 7, siehe 10.7 und 10.8 usw.
0
chicken24.04.12 10:39
Als ob ein unbedarfter Anwender überhaupt ansatzweise in der Lage wäre ein Linux zu installieren, selbst wenn das klappt und nur eine HW Komponente nicht geht Panik und hilfloses gesuche in Foren die meist wenigstens ein klein wenig grundlagenwissen voraus setzen.

Aber natürlich ist das die bessere Wahl sicher !
0
chessboard
chessboard24.04.12 10:59
klapauzius
Da hilft nur eines:
http://blogausgraz.wordpress.com/2012/04/16/wechsel-von-apple-nach-ubuntu-abgeschlossen/

Na, endlich kommst Du mal auf den Punkt. Dein missionarischer Eifer ist ja partout nicht zu übersehen...
0
janknet24.04.12 11:05
Linux ist schön und gut aber ernsthaft das kann man keinen normalen Menschen empfehlen.
Linux ist wie ne einsame Insel auf dem Meer. Man ist sicher vor den Haiangriffen aber hat auch nix.
Es gibt so gut wie null (kommerzielle) Software dafür.
Man kann da rumbasteln ohne Ende - das macht Spass klar, aber ohne irgendwelche Anleitungen und Tutorials kommt da keiner zurecht.
Ich hatte mal 2 Jahre ausschliesslich Linux benutzt (mal Suse mal Ubuntu) ohne VMWARE oder ner zweiten Partition mit Windows kommt man aber niemals zurecht.
0
dietmar Freiberg
dietmar Freiberg24.04.12 11:18
Zum ernsthaften Arbeiten braucht man weder Flash noch Java.

Java kann man in Javaeinstellungen abschalten und Flash deinstallieren.

Problem gelöst.
Alles Sinnvolle ist einfach, alles Komplizierte ist überflüssig!
0
Alex.S
Alex.S24.04.12 11:22
Ich steck auf Windows 7 um ist sicherer!
Not so good in German but I do know English and Spanish fluently. Warum ich es mit dem Deutsch überhaupt versuche? Weil ich in Deutschland arbeite! Lechón >:-]
0
klapauzius24.04.12 11:24
Die angebliche Reduktion auf 30.000 infizierte Rechner war übrigens auch ein Fake. Hatte ich auch hier gepostet. Interessiert hier aber keinen. Apple-PC's sind ja sicher. Weiss man ja.

http://www.heise.de/newsticker/meldung/Flashback-Trojaner-Noch-immer-ueber-eine-halbe-Million-Macs-infiziert-1546057.html
0
Marcel Bresink24.04.12 11:36
Hannes Gnad
Gatekeeper verläßt sich nicht auf das Download-/Quarantäne-Flag, sondern prüft in der Standard-Einstellung, ob die Anwendung/der Installer ein gültiges Zertifikat hat.

Das ist nicht richtig. Gatekeeper berücksichtigt nur Downloads. Sobald Code auf einem anderen Wege auf den Rechner kommt, bzw. vor Ausführung des Codes das Download-Quarantäne-Flag gelöscht wird, ist Gatekeeper völlig wirkungslos und wird überhaupt nicht verwendet.
0
Supremeja
Supremeja24.04.12 11:43
klapauzius


Vielleicht lernt man mal was dazu.....
Zumindest hab ich schon ewig nicht mehr klicki-bunti gehört. Aber der Kenner gibt sich zu erkennen, gell klapauzius. Was ich bis jetzt von Klicki-Ubunti gesehen und gehört habe, ist die Optik und das Handling sehr an Apple angelehnt. Wie auch immer, Du bis ja damit glücklich. Ist ja auch mal was.

Grundsätzlich halte ich nichts von diesem Thema. Mir scheint so, dass diese Meldungen nur alleine dem Umsatz dieser Unternehmen wie Symantec dienlich sind. Vielleicht werden diese komischen Schadprogramme von diesem Firmen selbst geschrieben. Wer weiß das so genau…… what ever.

Mit dem oben aufgeführten Link wird ganz logisch erklärt, dass diese Trojaner nichts anrichten und nicht funktionieren. Daher sehe ich das nur als einen riesen Hype an. Für Symantec & Co ist diese Panikmache ein Umsatzgarant und für die Medien sind es tolle Schlagzeilen.

Kurz: Java ist bei mir eh schon immer deaktiviert, daher juckt es mich noch weniger. Und das diese Trojaner nicht funktionieren, dass sollte auch schon länger bekannt sein.

0
sierkb24.04.12 11:50
Hannes Gnad
Gatekeeper verläßt sich nicht auf das Download-/Quarantäne-Flag, sondern prüft in der Standard-Einstellung, ob die Anwendung/der Installer ein gültiges Zertifikat hat. Das ist eine deutlich größere Hürde für den Trojaner-Bastler

Ja, ist es wirklich eine größere Hürde? Ich meine mal, nein. Denn: Zertifikate kann man fälschen. Stuxnet hat auf diese Weise überlistet, eine Variante von Flashback hat auf diese Weise überlistet, in Österreich ist derzeit für einige Zeit die Java-basierte Bürgerkarte unsicher gewesen aufgrund gefälschter Zertifikate, weltweit gab's Identitätsdiebstahl aufgrund gefälschter SSL-Zertifikate bzw. gefälschter Root-Zertifikate wie z.B. denen von DigiNotar und anderen (an denen und an deren Glaubwürdigkeit alles andere dranhängt), und die Browser- und Betriebssystemhersteller mussten ihre Produkte entsprechend anpassen bzw. diese gefälschten Zertifikate durch neue ersetzen. Etc. pp.

Es dürfte also ein nicht kleiner Attraktor für zukünftige unlautere Zeitgenossen sein, Apple-Zertifikate zu fälschen, um sich auf diese Weise am AppStore und am Gatekeeper vorbeizuschummeln und dem Benutzer fälschlicherweise zu signalisieren, es habe alles seine Ordnung und Richtigkeit, um ihm auf diese Weise heimlich irgendwas unterzuschieben zu können und Gatekeeper damit seiner wichtigsten Funktion und seines Sinnes zu berauben. Man darf da wohl in Zukunft mit allem rechnen, der Phnatasie sind da keine Grenzen gesetzt. Wer da reinkommen will, der kommt rein, der probiert's so lange bis es klappt.
0
Zacks
Zacks24.04.12 11:51
Java ist schon immer die selbe Pest wie Flash gewesen
Ware wa messiah nari!
0
Gerhard Uhlhorn24.04.12 12:00
Oh, hier geht aber einiges ganz schön durcheinander.

Also, Java muss man nicht deinstallieren. Es reicht schon es abzuschalten, und dafür gibt es ein Dienstprogramm. Und wo wir da schon mal sind: Ja, es ist korrekt, dass ab Lion auch ein Admin keine Schreibrechte mehr am Dientprogrammordmer hat. Ich hielt es erst für ein Bug.

Zu Gatekeeper: Mac OS X arbeitet mit Signaturen. Gatekeeper verhindert die Ausführung von Programmen mit falscher Herkunft. Das bedeutet, dass der Benutzer dann gefragt wird, ob er dem Programm denn wirklich vertraut. Wird das bestätigt, wird bei diesem Programm auch nicht mehr nachgefragt, solange, bis es verändert wird (z.B. durch Update oder durch Malware). In dem Fall kommt die Vertrauensfrage nämlich wieder.

Also, Gatekeeper schränkt den User keineswegs ein, er verhindert nur die Ausführung eines Programms so lange, bis der User das Vertrauen in das Programm bestätigt. Diese Warnungen gelten per Default nicht für Programme aus dem App Store und Programme aus bekannten Quellen (Entwickler-Signatur).

Falls ich mich in einem Punkt irren sollte, bitte korrigieren.
0
sierkb24.04.12 12:12
Gerhard Uhlhorn?
Zu Gatekeeper: Mac OS X arbeitet mit Signaturen. Gatekeeper verhindert die Ausführung von Programmen mit falscher Herkunft.

Was schrieb ich denn gerade? Diese Signaturen, die kann man nicht fälschen und Dir als Nutzer oder auch dem System als vermeintlich korrekte Signaturen unterjubeln? Ist ja bislang noch nie sowas in dieser Richtung passiert...
0
sierkb24.04.12 12:13
Marcel Bresink:

+1
0
sierkb24.04.12 12:17
janknet:

Wie schaffen das bloß die Menschen, Schulen, Behörden, Organisationen, Firmen, die damit entgegen Deiner Ausführungen trotzdem ziemlich gut zurechtkommen und dorthin weiterhin aktiv migrieren? Sind die alle klüger oder dümmer als Du?
0
sierkb24.04.12 12:18
Supremeja:

Gibt es Deinen Link auch in seriös und glaubwürdig (ich weiß, derselbe Autor hat gerade was bei heise veröffentlicht -- nur widerspricht sich das, was er da bei heise Mac&i geschrieben hat, zu nahezu 100% dem, was er wenige zuvor in seinem Blog geschrieben hatte -- was von beidem gilt denn nun und ist glaubwürdiger)?
0
klapauzius24.04.12 12:22
Zu Eurem fabulösen "Gatekeeper" und den Signaturen nur soviel: Jeder mit einer gültigen Kreditkarte und E-Mail kann bei Apple "Developer" werden und danach lustig Code signieren bzw. den erhaltenen Schlüssel weiter verbreiten.

Und zu der ganzen absurden Sicherheits-Diskussion nur soviel: Wenn Apple ein paar von den Milliarden Dollar, die sie mittlerweile gescheffelt haben dafür ausgeben würde, schlicht und einfach ihre Patches und Updates rechtzeitig zu liefern und ihre eigene Hardware vernünftig zu unterstützen wäre das ganze kein Thema. Aber das tut Apple nicht, sondern behält die Kohle lieber.

Von mir aus.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.