/Users/hanshohmeier/Desktop/heise online - Schwachstellen in Mac OS X.webarchive

Die Url funzt bei mir nicht

Immerhin wissen wir jetzt wo Jesses den Artikel gespeichert hat.

Links auf deine Platte gehen nicht. Es sei denn du nutzt deinen eingebauten Apache und schaltest Websharing frei.

Ich komme auch nicht auf Dein Webarchiv. Was hast Du denn für eine OSX Version? Oder ist es per Filevault verschlüsselt, Hans?

Für alle, die noch keinen Zugang zu Jesses Platte haben ...

Au weia, da hat mal wieder der Dorfdepp bei Heise zugeschlagen...

Zitat zu dem ersten beschriebenen Punkt aus den Kommentaren:

"Wir wollen nun wirklich eine Beschreibung des 1. Problems @heise
Der eingeloggte Admin kann dem eingeloggten User zu weiteren Rechten
verhelfen, aber das kann er immer mit unzähligen Methoden und gemäß
seinen Rechten.

In manchen Fällen erst nach erneutem Einloggen des Users, aber das
ist doch kein Hack. "

Hm, beschäftigen die bei heise.de jetzt wirklich Hornochsen? Ich meine der letzte Absatz ist ja wohl ein Oberwitz: da tut er gerade so, als könne man in OS X die Passwörter auslesen, aber gezeigt hat er nur, daß man sich einen zusätzlichen Admin-Account anlegen kann mit physischem Zugriff auf den Rechner. Tolle Kartoffel. Von Niveau kann man bei Heise ja langsam wirklich nicht mehr reden

Rantanplan:

Mein Reden. Für mich ist das schon länger nur noch ein Deppenhaufen bei Heise. Ist ja nicht mal der erste dumme Artikel über angebliche Lücken in MacOS X. Man könnte fast sagen, alle paar Monate versuchen die Sumpfkäfer es erneut.

Naja, sie haben aber durchaus Recht. Der Finder soll im Falle eines rmote-Zugriffs per SSH, selbst wenn er per "open Finder" oder per osascript Befehl aufgerufen wird, nicht angezeigt werden auf dem Display, das login-Fenster sollte den Finder verstecken, bzw gar nicht starten lassen. Das kann sehr wohl ein Problem sein bei ferngewarteten Rechnern, nicht immer weiss der Admin, wer da grad neben dem Rechner hockt. Das sehe ich auch als Problem und als Bug...

Und auch beim Single-User Mode sollte vielleicht mal ein Passwort abgefragt werden, oder? Nun, wir wissen alle, wenn man physikalisch an den Rechner ran kommt, dann bekommt man auch Zugriff drauf wenn man es will, so einfach sollte es aber vielleicht doch nicht sein.

serge paulus

Du kannst dich auch auf einem "ordentlichen" Unix per ssh remote einloggen, dich root-en und dem Benutzer vor dem dortigen Monitor eine root-Shell öffnen. Ich will damit nicht sagen, daß Apple es nicht besser machen könnte, aber wer mit Steinen wirft ... der Autor des ct-Artikels kennt aber vermutlich nur Windows und hält das voll maximierte Word-Fenster für dessen GUI

Zum Single-User-Mode. Ja, ein Paßwort wäre nicht schlecht. Aber welches? Man richtet ja nie eines ein. Das vom ersten Benutzer? Wäre vielleicht nicht schlecht, aber dann hätte root gleich ein Paßwort - was sonst nicht der Fall ist - und dann auch noch das schlechte Paßwort vom Admin - die meisten Leute haben erbärmlich schlechte Paßwörter. Und wenn, dann müßte Apple auch das Rücksetzen der Kennwörter über die Installations-CD rausnehmen. Und von CD booten könnten sollte man überhaupt nicht. Eigentlich auch nicht von einem Wechseldatenträger, schließlich könnte ich einfach ein OS X auf meinem iPod mit mir führen und - zack - wenn der Rechner mal unbewacht ist, davon starten. Ob das mit den USB-iPods noch geht weiß ich nicht, mit den guten alten FW-iPods aber schon.

Man kann das System verriegeln und verrammeln, aber ich glaube da würde dann die Mehrheit der Normalbenutzer meutern. Also lieber die wichtigen Sicherheitsrisiken unterbinden und den Rechner für den Benutzer noch beherrschbar lassen.

rantanplan, Zum Single-User Mode geb ich dir recht, das ist in der Tat zu aufwändig.

So wie ich erstere Lücke aber verstanden habe, ist das nicht so einfach mit Linux zu vergleichen. Wenn man unter Linux sich per ssh anmeldet und da den Konqueror per root/sudo startet, gibt der eine Fehlermeldung raus, dass er keinen Zugriff auf den X-Server bekommt. Sprich, auch root kann per Fernadministration nicht so einfach einem anderen Benutzer vor dem Rechner das Login ersparen und dem gleich ein root-Zugriff geben. Der Finder startet aber mit root-Rechten, und ignoriert das Login-Fenster. Es geht sicherlich auch in Linux, aber mit deutlichen Hürden, ich wüsste jetzt auf Anhieb nicht wie ich das machen soll.

Das ist sicherlich keine große Sicherheitslücke, denn wer ist als Admin schon so blöd, aber andererseits ist es auch recht unschön, da man als Admin im Fernzugriff halt aufpassen muss, dass sich der Finder nicht angesprochen fühlt. Die Situation kommt eh nur bei ferngewarteten Rechnern vor, also für die meisten hier absolut zu vernachlässigen. Da ich aber durchaus mal Fernwartung mache, finde ich das schon ein Problem, da ich nicht immer weiss, wer da grad neben dem Rechner hockt...

Andererseits habe ich noch nie den Finder oder eine sonstige MacOS-Applikation bei der Fernwartung gebraucht, bislang reichten mir da normale Shell-Kommandos, also selbst für mich ein ziemlich konstruiertes Ding. Apple könnte aber trotzdem da nachbessern...

jesses
geht es dir gut? Alles klar bei dir?

jesses
Superlink. Dort muß man dann auf den Beitrag von 18:37 klicken.

Auf die eigene Platte verlinken ist ja schon genial, aber dann auch noch diese Diskussion hier in dieser Diskussion zu verlinken...?

jaguar, dieter, apppleator

Mit euren Bemerkungen kann ich nicht viel anfangen. Ihr habt doch gemerkt, dass ich was falsch gemacht habe. Warum zeigt mir keiner von euch, wie ich den Link richtig setzen muss? Damit wäre euch und mir geholfen. Aber das lässt sich ja nachholen.

jesses
Den Link im Browser kopieren, aber nur wenn es ein Link auf eine Internetseite ist und nicht einer, der auf ein von Dir abgespeichertes Webarchiv deutet, und ihn hier mit V einsetzen.

Serge Paulus<br>
Als "root" kann ich alles, weil ich an alle Dateien heran komme. Ich kann die .Xauthority kopieren oder anderes, aber Zugriff bekomme ich IMMER, wenn ich erst einmal "root" bin. Und im zweifelsfall kann ich auch den XDM (oder kdm, gdm) terminieren und direkt einen X-Server starten. Alles überhaupt kein Problem!

Es hat das Niveau von. Ich melde mich mal an der Console an, sagt meinem Kollegen, dass ich eine halbe Stunde zum Essen gehe, drückt ihm den Schlüssel für den Serverraum in die Hand und denke er wird schon nichts Schlimmes anstellen!