http://21c3.annulator.de/21c3_Folien.pdf

Ach so, das geht mit Programmen nicht genauso einfach, weil sich dort automatisch ein .app anhängt. Aber das ließe sich wohl mit einem type-und creator-tool verändern, also muss nur noch der Programm-Code im Bild untergebracht werden (oder das Programm als Bild getarnt werden, wie auch immer).
<br>
<br>Wird das Bild nicht automatisch angezeigt (z.B. weil´s in Mail.app so eingestellt ist, oder auch mehrseitige pdfs), wird doppelgeklickt. Nun könnte es sein, dass noch eine Warnung aufpoppt, dass das Programm zum ersten mal gestartet wird, aber das dürfte viele nicht davon abhalten, trotzdem auf o.k. zu klicken.
<br>
<br>Oder?

Der Finder ergänzt zwar automatisch beim Umbenennen einer Application immer sofort ein ".app", aber per Terminal kann man beispielsweise aus "Calculator.app" auch "Calculator.pdf" oder anderes machen.

Ties-Malte<br>
<br>Genau darum ist es kein "Wurm". Ein Wurm benötigt keinerlei Useraktion. Sein "proof of concept worm" ist ein klassischer Trojaner.
<br>

Ties-Malte
<br>
<br>Ich glaube, ich muß meine Meinung in bezug auf hemmungsloses Doppelklicken nochmals überdenken.
<br>Ich habe auch ein PDF in ein JPEG umgewandelt und umgekehrt, um mal zu testen, was "Vorschau" damit anstellt. - Bei mir wird alles sofort angezeigt.- Das konnte man doch irgendwo abschalten, oder nicht ? Ich kann mich daran erinnern, daß bei mir "Vorschau" mal eine Zeitlang nicht automatisch alles angezeigt hat. Wie dem auch sei, so müßte man auf Angelos "Laub-Wurm" ja immer noch Doppelklicken, um Ihn zu befreien.
<br>Die eventuelle Möglichkeit, daß man aber doch irgendwie bösartigen Code über PDFs et cetera einschleusen könnte, läßt einen ja dann doch ein wenig grübeln.
<br>(Um nochmal auf Deine Aussage "...Mac-User klicken auf alles..." einzugehen, muß ich meine ursprüngliche Meinung wohl doch korrigieren. Es ärgert mich zwar sehr dies zugeben zu müssen, aber dieser Thread hat mich doch dazu veranlaßt, mal zu "Testzwecken" entsprechend präparierte Anhänge zu versenden. Erschreckenderweise haben alle bedingungslos die Dateien geöffnet, gerade die, die Thunderbird & Co. verwenden, bei denen man die automatische Anzeige ja bekanntlich abstellen kann.) Mag natürlich sein, daß man sich aufgrund meiner Absenderadresse in Sicherheit glaubte.
<br>
<br>@@MacMark
<br>
<br>Ist es denn generell möglich, einen Wurm so zu programmieren, daß er bereits in "Vorschau" aktiv wird, ohne daß man den Anhang angeklickt hat ?
<br>

Hot-Mac: Nö, abgestellt hatte ich gar nix. Nur die Endung pdf in jpg geändert bringt in Vorschau ´ne Fehlermeldung und über längere Zeit einen Absturz mit sich (s. Bild).
<br>
<br>@@ MacMark: Es ist wohl richtig, dass der Laub-Wurm lt. Def kein Wurm, sondern ein Trojaner ist. Im Endeffekt läuft es auf´s gleiche hinaus, nämlich ein erhöhtes Risiko, weil die Hürde des Klickens recht niedrig liegt.
<br>
<br>Den Versuch, ein "verpacktes" Script weiter zu geben habe ich auch mal gemacht (öffnete nur ein Textfenster, war aber "verkauft" als Freeware, die das Blaue vom Himmel versprach): Alle haben´s geöffnet, wirklich alle!!
<br>
<br>Wenn Du ein Brett auf die Asche-Bahn legst, ist es möglicherweise kein 400m-Lauf mehr, sondern nach Def. 400m-Hürden, aber wen interessiert das tatsächlich? Wenn mein System kompromittiert wurde, kann ich noch so sehr "disqualifiziert" rufen, zu mehr als einem grinsen dürfte das nicht führen .

Hot Mac
<br>Wenn das verwendete Email-Programm Anhänge automatisch öffnet, also ausführt, dann wäre der "proof of concept worm" von Angelo Laub tatsächlich ein Wurm.
<br>
<br>Das Email-Programm Outlook auf Windows kann beispielsweise Anhänge automatisch ausführen. Darum geht dort auch mit Würmern die Post ab. Falls Apple auf die Idee käme, daß Mail.app Anhänge automatisch ausführen können sollte, dann hätten wir ein Problem auf Mac OS X.

Ties-Malte
<br>
<br>Bei einem echten Wurm hat der User keine Chance: Der Wurm verbreitet sich und macht, was er will, ohne daß der User es bemerkt oder es verhindern kann und ohne daß der User überhaupt etwas gemacht hat.
<br>
<br>Bei Trojanern hat man immer die Chance, nachzudenken, bevor man ihn selbst per Hand startet. Und soweit ich mich erinnere, fragt Mac OS X auch beim ersten Start eines Programms immer nach, ob man das Programm xy tatsächlich starten wollte.

docs.info.apple.com/article.html?artnum=25785

Korrektur URL
<br>http://docs.info.apple.com/article.html?artnum=25785

Ties-Malte
<br>
<br>Bei mir zeigt "Vorschau" alles an, was es anzeigen kann.
<br>Habe das gerade nochmals ausprobiert.
<br>Ich kann tatsächlich die Dateiendungen nach Belieben ändern.
<br>Lediglich wenn ich den Anhang sichere, dann erscheint beim Versuch diesen zu Öffnen, auch bei mir die Fehlermeldung.
<br>
<br>Übrigens, mit "Abstellen" meinte ich eigentlich die automatische Anzeige von Anhängen.
<br>Das ging doch irgendwie, oder nicht ?
<br>
<br>Egal, MacMark hat mich ja in meiner Vermutung, daß dies keinen Schaden anrichten kann - bestärkt.
<br>
<br>@@MacMark
<br>
<br>Vielen Dank.

Ich muß mal schnell ne Korrektur nachschieben.
<br>
<br>Jetzt erscheint bei mir dieselbe Fehlermeldung amp;
<br>
<br>Gott sei Dank, muß man ja schon fast sagen.

Die Arbeit von Angelo Laub ist sicher sehr interessant und leider habe ich seinen Vortrag im CCC versäumt.
<br>
<br>Die Nachricht von Intego vor ca. einem Jahr, einen ersten Trojaner für Mac OS X entdeckt zu haben, war hingegen eine durchschaubare Sache - etwas lächerlich und basierte auf die berühmte Panikmache.
<br>
<br>Das ganze war ja auch nur ein "Proof of Concept" eines dänischen Programmierers (Anderson?), der beweisen wollte, daß man einen Virus in den ID3-Tags von mp3-Dateien inegrieren kann. Intego hat sich dann der Sache bemächtigt.
<br>
<br>Das bei wachsendem Marktanteil von Apple die Attraktivität von Angriffen natürlich zunimmt, dürfte klar sein. Hoffen wir also weiter, daß wir eine Randgruppe bleiben.
<br>
<br>Programmcodes auszuführen, ohne daß es ein Sudoer merkt, ist schon eine herbe Sache. Aber zum Glück sind beinahe alle nicht so begabt wie Angelo.

Hartmut Andryczuk<br>
<br>Auf was beziehst Du Dich hier?

Auf dieses Zitat, wenn ich es richtig verstanden habe.
<br>
<br>"MD: Kommen wir zu einem der mit Sicherheit heißesten Themen: "Mach Injection". Was hat es damit auf sich?
<br>
<br>AL: Also erstmal vorweg: Der Umstand, dass Mach Injection möglich ist, war eine Designentscheidung bei der Entwicklung von Mac OS X. Da man sich für eine Mach-Microkernel-Architektur entschieden hatte, bekam man Mach Injection automatisch mitgeliefert.
<br>Ich werde erstmal erklären, was klassisch auf allen Unix- und Windowssystemen möglich ist und dann, wodurch sich Mach Injection davon unterscheidet.
<br>1) Klassisch: Man kann den dynamischen Linker dazu zwingen, vor dem Programmstart bestimmte shared libraries vorzuladen und auf diese Weise Code in vorhandene Programme injizieren. Diese Methode ist unter dem Namen der zuständigen Umgebungsvariablen, LD_PRELOAD unter Linux, DYLD_INSERT_LIBRARIES unter Mac OS X, bekannt. Auch hier ist es möglich, bestimmte C-Funktionen zu überschreiben. Das ist wirklich nichts Neues und auch schon seit Ewigkeiten bekannt.
<br>2) Mach Injection: Mit Mach Injection kann ich alles machen, was klassisch geht, nur kann ich dies auch zur Laufzeit tun. Das heißt, ich kann auf den Speicherbereich eines beliebigen anderen Programms zugreifen und zur Laufzeit beliebigen Code hineinschreiben und sogar aus der Ferne einen neuen Thread erzeugen, der den hinzugefügten Code ausführt. Das muss man sich erst einmal auf der Zunge zergehen lassen! Dabei kann man gar nicht oft genug betonen, dass dies alles zur Laufzeit möglich ist, also wenn das Programm schon längst läuft und seinen Dienst verrichtet. Das Programm selbst (und erst recht der User) merkt davon nichts.
<br>Des Weiteren ist noch zu bemerken, dass all dies von außen zwanghaft geschieht und das Programm keine Chance hat, sich dagegen zu wehren."
<br>

Hartmut
<br>
<br>Das ist alles ein alter Hut. Schon vor zwei Jahren wurde es hier veröffentlicht:
<br>(Siehe mein Beitrag vom 31.12.04 um  23:26 Uhr in diesem Thread für mehr)
<br>
<br>rentzsch.com/papers/overridingMacOSX
<br>
<br>Das ist ein stinknormales Feature vom Mach Kernel. Außerdem kann man nur in seine eigenen Programm-Threads schreiben damit.
<br>
<br>Warum er alte, dokumentierte Mach Features als Sicherheitslücke oder Bug verkauft, weiß ich nicht, das muß er mit seinem Gewissen vereinbaren. Für mich ist das pure Wichtigtuerei aus verletzter Eitelkeit, weil Apple auf seine Bugreports nicht reagiert hat. Ist ja auch klar, denn
<br>
<br>1) er verkauft Trojaner als Würmer und
<br>2) er verkauft Mach Features als Sicherheitslöcher
<br>
<br>Warum sollte Apple jemanden ernst nehmen, der seine Hausaufgaben nicht gemacht hat, sprich nicht recherchiert hat, und so einen Unfug in die Welt bläst?

MacMark, findest Du das nicht langsam selbst etwas lächerlich?
<br>
<br>Ob nun Trojaner oder Wurm – das ändert nichts an der Tatsache, dass es eine (wenn auch nur kleine und durch das Zutun des Anwenders aktivierbare) Lücke ist!
<br>
<br>Überall (nicht nur hier) darauf herum zu reiten, dass es "ja eigentlich ein Trojaner und kein Wurm ist", bringt uns doch nicht wirklich weiter, oder?
<br>
<br>Schon das Ende Deines ersten Kommentars in diesem Thread war nicht besonders produktiv, Zitat:
<br>"Dann sollte ihm noch jemand den Unterschied zwischen become und get erklären bzw. ihm raten, lieber seine Muttersprache zu verwenden, wenn er nicht fit ist in Englisch "
<br>
<br>Was hältst Du von folgendem Vorschlag: da Du ja so fit in englisch bist zeige Dich doch mal von Deiner Community-Seite und übersetze das Interview ins Englische, so dass auch auf der anderen Seite des Teiches Notiz davon genommen wird.
<br>
<br>Aber ich gehe mal davon aus (da Du ja eh alles für Unfug hältst), dass Du Dich nicht dazu ermutigen lässt, nicht wahr?

Und noch etwas: Deine "Hass-Predigten" in Richtung Angelo gehen doch an die falsche Adresse – immerhin ist er jemand, der auf Dinge aufmerksam macht, die manche User (u.a. leider auch Du) als gegeben hinnehmen...
<br>
<br>Und weil Du immer wieder Wissenschaftlichkeit ansprichst: unwissenschaftlich ist Deine "Denke", da Mach Injection ein Feature und schon seit Ewigkeiten bekannt sei, biete es keine Lücken!

Marcel_75@work, Angelo scheint ja ein dicker Freund von dir zu sein, nimm&rsquo;s halt nicht persönlich

Marcel
<br>Eine "kleine Lücke mit Zutun des Users" klingt schon eher korrekt als "der erste Wurm für OS X". Darauf können wir uns einigen.
<br>
<br>Ich finde es nicht gut, wenn jemand aus Geltungsdrang, Rachsucht oder Effekthascherei die Tatsachen verfälscht und maßlos übertreibt. Damit mögt Ihr ja ein paar arme User aufschrecken, aber wer sich kurz in die Materie einarbeitet, bemerkt den Schwindel und wird Euch weder ernst nehmen noch Glauben schenken in Zukunft.
<br>
<br>Kennst Du die Geschichte von dem Kind, das bei den Schafhirten lebt und immer gerufen hat "ein Wolf, ein Wolf!"? Irgendwann kam der Wolf tatsächlich und die Hirten hörten diesmal nicht mehr auf sein Geschrei.

Gut, wie klein oder groß die Lücke tatsächlich ist, kann ich nicht genau einschätzen. Aber zugestehen muss man schon, dass eine höhere Aufmerksamkeit sicher nicht verkehrt ist, zumal das die Hürde ("Zutun des Users") keine besonders hohe ist. Auch wenn gewarnt werden sollte, dass dieses oder jenes Programm zum ersten mal gestartet wird: Sie starten den Trojaner xyz zum ersten mal wird da kaum auftauchen, das wird schon etwas besser getarnt sein; und viele, die sich mit OS X in Sicherheit wiegen und nicht regelmäßig in den News / Foren lesen (auch die gibt´s ), werden weiterklicken. So wenige werden das nicht sein, fürchte ich.

Eigentlich gibt es doch nicht viele Möglichkeiten: Egal wie man es nennt und egal wie lange es das schon gibt; die von Angelo postulierte Lücke besteht tatsächlich. Entweder wird Apple reagieren und - wenn es technisch möglich ist -das Loch stopfen. Oder das Loch bleibt offen und wird - vielleicht im Zusammenspiel mit anderen bekannten oder bisher unbekannten Exploits - eines Tages praktisch ausgenutzt. Dann wird sicher niemand mehr darüber reden, ob die Leute, die einst darauf hingewiesen haben, dabei die richtige Terminologie benutzt haben oder nicht.
<br>
<br>Und wenn erstmal eine erheblich Anzahl ungeschützter Macs vom Verlust der Home-Verzeichnisse betroffen ist, interessiert keinen der Betroffenen, ob dies durch einen Bug, eine schwerwiegende Lücke oder ein Standard-Feature möglich war. Die meisten Windows-Probleme sind durch Standard-Features möglich.
<br>
<br>...sagt Stefan, der dies nicht als Angriff auf einen der Beteiligten verstanden haben möchte

Es gibt verschiedene Klassen von Schädlingen, die verschieden starken Schaden anrichten können. "Stärke" bezieht sich dabei auf die Autonomie (Unabhängigkeit) des Schädlings, seine Verbreitungsmethode soweit vorhanden, und den potentiellen Schaden pro User bzw. pro Maschine. Daher ist es wichtig, einen recht einfachen Schädling auch so zu nennen und ihn nicht als ultimative Bedrohung darzustellen. Angelo Laub hat mit Absicht einen falsche, zu starke Kategorie gewählt, um sein Konzept möglichst bedrohlich erscheinen zu lassen.
<br>
<br>Man nennt ja auch keinen Revolver "Atombombe", obwohl beides tödlich sein kann für die einzelne Person. Dennoch ist Euch der Unterschied wichtig. Genauso verhält es sich mit Computerschädlingen.

MacMark: es ist, wie Angelo es auch sagte, ein "Proof-of-Concept" ohne Schadensroutine!
<br>
<br>Wieviel Schaden damit dann angerichtet werden könnte, liegt am Programmierer, der diese "Proof-of-Concept"-Vorlage nutzt und durch gefährlichen Code erweitert!
<br>
<br>Seine Trojaner-Variante um die Möglichkeit zu ergänzen, z.B. dass gesamte Home-Verzeichnis des angemeldeten Benutzers zu löschen, dürfte nur wenige Zeilen Code benötigen - das sollte auch Dir klar sein.
<br>
<br>Und wir alle wissen, dass damit zwar noch nicht das gesamte System zerstört ist - ein Verlust der persönlichen Daten kommt dem GAU aber auch recht nahe...
<br>
<br>Du unterstellst hier Angelo und mir Dinge, die Du Dir selbst zusammenreimst - aus welchen Gründen auch immer?

MacMark<br>Woher weisst Du mit Sicherheit, dass Angelo mit Absicht eine falsche Kategorie gewählt hat? Ist das nicht eher eine Mutmaßung?
<br>Oder unterstellst Du ihm mit Absicht, dass er mit Absicht eine falsche Kategorie gewählt hat, um ihn möglichst unsympathisch erscheinen zu lassen?
<br>
<br>Ich glaube fast, es ist hoffnungslos Aber es ist ja auch nicht meine Aufgabe, mich als Newbie einzumischen, und gleich an alteingesessenen Forumsmitgliedern rumzunörgeln (1800 Beiträge? Wow!).
<br>Also nix für ungut... ich verkrümel mich jetzt wieder dahin, wo ich hergekommen bin http://www.apfeltalk.de/ da sind alle lieb zueinander

MacMark: in Angelos Paper vom 11.12.2004
<br>
<br>http://21c3.annulator.de/OSXInsecurity.pdf
<br>
<br>ist auch der von Dir im Apfeltalk-Forum genannte Link erwähnt, er war Angelo also sehr wohl bekannt!
<br>
<br>
<br>
<br>

Marcel
<br>Daß es ein proof of concept ohne Schadroutine ist, ist mir klar. Ich beurteile das concept so, als ob es maximale Schadroutine hätte, um die Möglichkeiten der "Schwachstellte" zu bewerten.
<br>
<br>Offensichtlich hat Angelo den Link dann entweder nicht gelesen oder später eingefügt, denn als mac_held im sagte, daß Beispielcode für Machinjection schon seit 2003 öffentlich ist, wußte er nichts davon und bat um den entsprechenden Link. Seltsam, gelle?

Ich geb&rsquo;s auf – echt, so etwas habe ich noch nicht erlebt...
<br>
<br>Außer völlig aus der Luft gegriffenen Unterstellungen hast Du diesem Thread hier offensichtlich nichts mehr hinzuzufügen?
<br>
<br>So kann man auch auf >1800 Beiträge kommen...
<br>
<br>Jeder erarbeitet sich halt den Ruf den er verdient!
<br>

thrillseeker
<br>
<br>Aus Angelos Vortragsfolien geht klar hervor, was seine Motivation ist: Apple hat seinen Bugreport ignoriert und er ist stinksauer und er will nun von außen Druck machen auf Apple. Außerdem ist er enttäuscht, daß er nur aus Deutschland Resonanz bekommt, aber keine internationalen Reaktionen.
<br>
<br>Er hat das ganze Thema so reißerisch und überspitzt wie nur irgend möglich formuliert. Er war von Anfang an nicht sachlich (seit seinem Vortrag) und wollte es auch nicht sein.
<br>
<br>Welche Punkte bei ihm schlicht falsch sind, habe ich schon erwähnt. Und wer offensichtlich sachlich inkorrekt ist, wird natürlich von Apple nicht ernst genommen. Aber es reicht als Aufreger für einige Apple-Fan-Sites und um einige User zu verunsichern.
<br>
<br>Und allein die banale Tatsache, daß er bei seinem Trojaner-Konzept von einem Wurm-Konzept spricht, disqualifiziert ihn, weil er es mit Absicht tut. Aus Dummheit wäre ja noch schlimmer! Der erste Mac OS X-Wurm wäre in der Tat der Hammer und er nutzt seine (falsche) Behauptung, diesen erstellt zu haben, um Beachtung zu finden. So etwas ist unter Bildzeitung-Niveau!
<br>
<br>Und wem das zu unverständlich ist, der sollte darüber nachdenken, warum eiin Feature, das seit mindestens zwei Jahren vollständig dokumentiert und für jeden zugänglich ist, noch nicht für böses genutzt wurde. Weil alle Welt zu dumm ist, den offenen Quellcode zu verwenden? Weil niemand Macusern schaden will?

Marcel_75@work<br>
<br>Ich kann jede von mir gemachte Aussage beweisen. An welcher bestehen Zweifel?

Hm, nun kenne ich nicht die Geschichte und Dokumentationen dieser "Mach-Injections", noch weiß ich, ob hier übertrieben wurde, bzw. ob Apple fahrlässig reagiert oder nicht. Ich unterstelle Apple einmal, daß sie das nicht tun.
<br>
<br>Das es Sicherheitslücken gab und gibt, dürfte hingegen klar sein. Das aber ist nichts Besonderes. Meldungen dieser Art wird es immer geben; allerdings brauchen wir nun wirklich nicht die Paranoia von Windows-Usern zu pflegen.
<br>
<br>Bisher hatte ich unter Mac OS X nie die Schwierigkeit, überall "draufzuklicken". Dokumente unbekannter Herkunft zu öffnen, wenn sie denn interessant schienen. Oftmals habe ich nicht einmal die Firewall aktiviert und ich bin oft mit dem Rechner unterwegs - off- und online.
<br>
<br>Unter OS 9 hingegen hatte ich einmal eine "virusähnliche" Erfahrung. Die kam aber nicht über einen bösen Hackerangriff sondern ganz legal von einer Strato-Software-CD. Das Programm, die Datei Cumullus ließ sich auf der Harddisk einfach nicht mehr löschen, sondern reproduzierte sich dabei ständig. Lösung: ich musste die Partition löschen, wo ich Cumullus installiert hatte. Das erinnerte schon ein wenig an Win - "bitte installieren sie Windoofs neu".
<br>
<br>Mit "Tiger" wird das OS ja auch einen neuen Kernel erhalten. Ob damit das hypothetische Mac-Injection-Problem gelöst wird, weiß ich allerdings nicht. Angriffe unter Linux hingegen scheinen will einfacher zu sein, da man dort ja oft per default als root unterwegs ist.

Na dann "beweise" mal z.B. diese Deiner Aussagen:
<br>
<br>Zitat: "Angelo Laub hat mit Absicht einen falsche, zu starke Kategorie gewählt, um sein Konzept möglichst bedrohlich erscheinen zu lassen."
<br>
<br>Deine Vorstellung von "Beweisführung" nennt man auch Selbstgerechtigkeit.
<br>
<br>Alles weitere was ich mittlerweile über Dich denke würde definitiv zu persönlich werden als dass ich es hier niederschreiben könnte – deshalb belasse ich es dabei, diesen Thread einfach zu verlassen.
<br>
<br>Menschen mit Deiner Neurose sind nämlich zu einer Sache ganz sicher nicht fähig: Selbstkritik.
<br>
<br>Vielleicht solltest Du Dich mal ernsthaft in psychiatrische Behandlung begeben (und das meine ich nicht böse sondern ernst, auch wenn Du es garantiert anders interpretierst).

Ich finde das geht jetzt zu weit!
<br>Für mich steht das fundierte Wissen von MacMark außer Frage!
<br>Was qualifiziert denn Dich?

Mit dieser Aussage bezweifle ich auch in keiner Weise sein fundiertes Wissen sondern lediglich seine unterentwickelte, soziale Kompetenz (mit immerhin 36 Lenzen).
<br>
<br>Fakt ist aber ganz davon abgesehen, dass MacMark z.B. nach wie vor das Problem mit den Zugriffsrechten (Library/StartupItems) in Frage stellt, wobei dies erwiesenermaßen so nicht in Ordnung ist!
<br>
<br>http://www.heise.de/security/news/meldung/46409
<br>
<br>Und wenn dann Leute wie z.B. Du der Kompetenz von MacMark vertrauen, ist das zumindest bedenklich.

Marcel_75@work<br>a)
<br>Die Tatsache, einen Trojaner als
<br>
<br>"The first Mac OS X
<br>Worm
<br>Proof-of-concept, no malicious routine"
<br>
<br>zu bezeichnen.
<br>Quelle: Seine Folien, Seite 49.
<br>
<br>Korrekte Kategorie wäre gewesen: "One more concept for another Mac OS X trojan horse - compare for this: MP3 trojan horse concept".
<br>
<br>b)
<br>Laut Zuhörerbericht, war sein Vortrag mit diesen Folien "bestenfalls reißerisch".
<br>Quelle: Donar- in diesem Thread am 30.12.04 um 16:37 Uhr.
<br>
<br>a) und b) zusammen ergibt meine obige Schlußfolgerung, daß Angelo, um möglichst reißerisch zu wirken, diese falsche, wesentlich bedrohlichere Bezeichnung "Wurm" gewählt hat.
<br>
<br>Wenn er das unabsichtlich getan haben sollte, dann würde das bedeuten, daß er keine Ahnung hat, Wurm und Trojaner zu unterscheiden. Entscheide Du …

Marcel_75@work<br>Dazu hatte ich ja schon ausführlich meine Einschätzung geschrieben in mehreren Beiträgen (31.12.04 ?) in diesem Thread, die darlegen, warum ich es so für okay halte.
<br>
<br>Und der von Dir angeführte Artikel auf heise security macht deutlich, daß, selbst wenn es ein tatsächliches Problem darstellen sollte, nicht Mac OS X dran schuld ist, sondern "nachlässige Installer".

Auch wenn "nachlässige Installer" der eigentliche Auslöser für dieses Problem sind ändert es doch nichts an der Tatsache, dass Apple die Reparatur der Zugriffsrechte durch das Festplattendienstprogramm auf diesen Bereich (also nicht nur den Ordner selbst sondern auch dessen Inhalt) ausweiten sollte.
<br>
<br>Oder noch besser: gleich nach jeder Programm-Installation diese Sache überprüft wird, auch wenn es ein nicht-Apple-Installer wie z.B. VISE war.

Könnte man (oder Apple) das ganze umgehen, indem sie den "Startup-Items"-Ordner die "root"-Attribute verpassen und dann nur per Installer mit Passwort-Abfrage dort hinein installiert werden kann. Geht das vielleicht dann auch manuell?

Komisch, das ist bei mir schon alles so gesetzt! Eigentümer System (rw), Gruppe wheel (r), Andere (r).
<br>
<br>Ob ich die Terminal-Sache schon mal gemacht habe?

Hinnerk
<br>Trotzdem vielen Dank für deinen informativen Beitrag!
<br>
<br>@@stiffler
<br>Zustimm.

Es wird nicht automatische geöffnet, da es als Endung .app hat, welche ja nur versteckt wurde. dateiname.jpg.app oder so.