Introducing Mac Worm X : http://www.oreillynet.com/pub/wlg/7064
<br>und bevor jemand meckert: der link führt zu einer englisch-sprachigen site

1. Was dort vorgestellt wird, ist ein klassischer Trojaner und kein Wurm. Alles, wo der User selbst zum Draufklicken überredet werden muß, ist ein Wurm. Auch wenn sich das Ding nach dem Klick fortpflanzt als gäbe es kein Morgen.
<br>
<br>2. Widgets, die nicht installiert sind, werden beim ersten Start installiert und wenn sie Aktionen beinhalten, die sicherheitsrelevant sind, wird gefragt, ob es laufen soll.
<br>Hier besteht zur Zeit ein Bug, weil unter gewissen Umständen, manchmal versehentlich doch nicht gefragt wird. Apple ist dieser Bug bekannt.
<br>
<br>3. Widgets, die installiert sind, werden nicht mehr mit Sicherheitsabfragen versehen, weil sie beim ersten Start im Falle von beinhaltetem sicherheitsrelevantem Code, schon mit Frage vorgezeigt wurden.
<br>
<br>Für weitere Details in deutscher Sprache über das Sicherheitskonzept des Dashboards und die aktuelle Sicherheitslücke verweise ich auf meine Seite:
<br>http://realmacmark.de/osx_help/osx_security.php#dashboard realmacmark.de/osx_help/osx_security.php#dashboard
<br>
<br>Dort ist auch ausgeführt, was Viren, Würmer und Trojaner unterscheidet - wie immer einfach und knallhart auf den Punkt gebracht.
<br>
<br>Und neuerdings auch per RSS-Feed zu erreichen:
<br>feed://www.realmacmark.de/rss.php

Korrektur Tipfehler:
<br>"Alles, wo der User selbst zum Draufklicken überredet werden muß, ist kein Wurm."
<br>Was ein Buchstabe doch ausmacht!

MacMark<br>Ja ja... aber:
<br>
<br>Dashboard is supposed to ask the user if it&rsquo;s OK to run a new widget for the first time. But that doesn&rsquo;t always happen. Aaron puts it simply:
<br>
<br>However -- incredibly, amazingly, stupidly -- Dashboard does not present a prompt before running a privileged widget that is one of the Library/Widgets folders, including our auto-installed widgets. So now your auto-installed replacement look-alike widget has complete access to your system, and could do nasty things like delete your home folder.

Bezüglich des in diesem Thread angesprochen Punkt verstehe ich (auch) nicht wo der Unterschied zu einer OS X Applikation ist, die man sich herunter lädt und startet (Doppelklickt). Das Widget der Email Message startet wie eine Applikation erst nach Doppelklick...
<br>

Wenn ein schon existierendes Widget, so verstehe ich das jetzt, per Auto-Install (Safari-Standard-Einstellung) geladen wird, d.h. ein schon existierendes Widget gegen eines mit malicious code ausgetauscht wird, dann hast du keine Chance, du erkennst die Mogelpackung nicht einmal.

Ties-Malte
<br>Siehe meine Anmerkung zu Punkt 2.

Ties-Malte
<br>Safari macht kein Auto-Install, sondern allenfalls automatisches Öffnen.
<br>
<br>Dashboard installiert automatisch, wenn das gestartete Widget noch nicht installiert ist. Dabei fragt Dashboard, falls das Widget eine der sicherheitsrelevanten Aktionen beinhaltet. Der Bug ist, daß Dashboard unter gewissen Umständen beim Installieren eines Widgets mit sicherheitsrelevantem Inhalt, doch nicht fragt.

Ties-Malte Das ist aber doch trivial. Ich kann auch auf meiner Homepage eine neue Version von VLC bereitstellen, wobei das Programm VLC heisst und das gleiche Icon hat, in Wirklichkeit aber ein Trojaner ist.
<br>
<br>Ausser der besagte Bug, den MM schon erwähnt hat ist doch hier überhaupt nicht, was nicht schon immer so war.

@MacMark:
<br>
<br>Zitat aus Deiner Website: "Besonders Norton ist mit seinem Anti-Virenprogramm mehrfach negativ auf Mac OS X aufgefallen. Nortons Anti-Virenprogramm richtet auf diesem System zur Zeit vielfach Schaden an und bringt dem Benutzer keinen Nutzen. Die berichteten Schäden gehen bis zum Zerstören des Betriebssystems. Harmlosere Erscheinungen waren diverse Falschmeldungen und starke Beeinträchtigung der Systemleistung. Ich beziehe mich hier auf viele glaubwürdige Berichte aus diversen Foren."
<br>
<br>Kannst Du mir einen Link schicken, in dem dokumentiert ist, dass tatsächlich NAV und nicht NortonUtilities schuld am "Zerstören des Betriebssystems" ist? Würde mich wirklich interessieren! Dachte immer, nur diese DiskTools der Utilities würden Schaden anrichten? Habe NAV 9 seit fast 2 Jahren ohne Probleme im Einsatz, deshalb meine Frage. Danke Dir!

Christian: Das wäre tatsächlich trivial.
<br>Wenn aber Safari das Päckchen automatisch öffnet und ein Programm automatisch (und teilweise offensichtlich ohne Nachfrage oder Warnung) an einen Ort bringt, wo es Zugriff auf´s System und alle Rechte erlangt, ohne dass du es erlaubt hättest oder auch nur mitbekommst, dann ist das ein Problem. Nimmst du den vlc und baust den nach, so wird er zwar möglicherweise automatisch entpackt, aber das war es auch. Das Widget wird aber ggf. auch gleich noch verschoben, wenn ich alles richtig verstanden habe, und könnte von da aus Schadroutinen ausführen.
<br>
<br>Dabei wäre Löschen des User-Ordners schon Sch** genug, aber man weiß wenigstens, dass da was nicht stimmen kann. Trojaner, die man nicht bemerkt, empfinde ich als noch viel fieser... Naja, soweit isses ja noch nicht.

Ties-Malte
<br>Safari bringt nichts an andere Orte, sondern speichert am Default-Ort und öffnet die neue Datei, falls er so eingestellt ist.
<br>
<br>Die Widgets landen bei der Installation, die nach ihrem ersten Start erfolgt, in einem Unterverzeichnis des Usersverzeichnisses des Users, der es gestartet hat. Das Widget kann weder Systemdaten (Dateien die zur Systemdomain gehören) verändern noch alle Rechte erlangen, da es unter Deinem User läuft. Das ist selbst wenn Du Admin bist, erst nach Abfrage eines Adminpasswords möglich.
<br>
<br>Ein Widget kann maximal soviel Schaden anrichten, wie ein normales Programm (oder Trojaner), das / den Du startest.

Marcel_75@work
<br><br>Auf die Schnelle habe ich eben den Bericht von MacFixIt rausgesucht, in dem geschildert wird, daß NAV fälschlicherweise glaubt, einen Trojaner entdeckt zu haben und beim Beseitigen des vermeintlichen Trojaners eine Menge an Problemen ausgelöst hat, wozu unter anderem Kernel Panics gehörten.
<br>http://www.macfixit.com/article.php?story=20050506072521222
<br>
<br>Wenn man etwas weiter sucht, dann finden sich noch mehr Berichte, was NAV so alles "reparieren und heilen" möchte. Wir haben definitiv - Stand heute - keinen Schädling auf OSX. Wenn NAV nun trotzdem einen "(er)findet" und löscht / eliminiert / isoliert, dann beseitigt er gesunde Dateien. Da er gerne im System etwas "(er)findet", sind Probleme auf jeden Fall vorprogrammiert (in NAV) im wörtlichen Sinne.
<br>
<br>Ich habe Norton selbst gerne genutzt auf System 7 bis 9, aber auf X kann ich Norton nicht empfehlen.

Gut, dann erkläre doch mal bitte, MacMark, wie dieser o.g. Trojaner, wenn es ihn denn mal geben sollte, funktioniert. Ich hab ja nur beschrieben, wie ich´s verstanden habe - sag du doch mal bitte, wie du´s verstehst (statt nur zu sagen, wie es eben nicht zu verstehen ist). thx.

Ties-Malte<br>
<br>Der Autor bezieht sich seinerseits auf diese Seite:
<br>http://www1.cs.columbia.edu/~aaron/files/widgets/
<br>Dort ist die Sache wesentlich korrekter und sachlicher beschrieben. Vor allen Dingen kommt das Wort "Wurm" (Worm) dort nicht vor. Das hat der Durchlauferhitzer dazuerfunden.
<br>
<br>Die Idee dieses Trojaners ist, ein Widget zu schreiben, das genauso heißt und aussieht wie eines der Widgets, die mit dem System geliefert werden, denen man natürlich vertrauen kann. Dashboard nutzt jedoch das User-Widget aus dem Userverzeichnis anstelle des Originals im System-Verzeichnis, wenn beide gleich heißen. Nun glaubt man das Original zu verwenden, hat aber die böse Fäschung am Start.
<br>
<br>An die root-Rechte will er folgendermaßen kommen: Wenn ein Admin kurz root-Aufgaben erledigt nutzt er sudo mit Password. Bei darauf in kurzer Zeit folgenden Sudos (3 Minuten?) ist das Password mit Sudo nicht mehr nötig. Das Programm / Widget des Users wartet also, bis er sudo nutzt und schickt dann selbst einen Sudo-Befehl ab, der beliebig mächtig sein kann.
<br>Details hier:
<br>http://adbas.net/OSX_Vuln.txt
<br>Apple sagt dazu zu Recht: Das ist kein Sicherheits-Problem, denn ein Admin sollte nicht irgendwelche Programme (Trojaner) starten.
<br>
<br>Ein Trojaner kann immer alles, was der User auch könnte, und ein Admin kann fast alles mit sudo. Gegen Trojaner gibt es keinen Schutz. All die oben geschilderten angeblichen Sicherheitlücken basieren durch die Bank auf Ideen für trojanische Pferde. Ein Trojaner benötigt nie einen Fehler des Betriebssystems, sondern nur einen Fehler des Benutzers: Nämlich den Trojaner zu starten.
<br>
<br>Der Autor hat sich auf einen Artikel bezogen, den er gefunden und nicht verstanden hat, dann einen reißerische Story dazu erfunden. Und der Autor, auf den er sich bezieht, der bezieht sich wiederum auf einen dritten Autor, der erklärt, daß ein Trojaner natürlich auch Sudo nutzen kann, wenn er unter einem Admin-User läuft. Natürlich, denn ein Trojaner kann alles, was der User kann, der ihn startet.
<br>
<br>Seit langer Zeit tuen sich Leuter hervor, die behaupten einen Wurm für OSX gefunden, entworfen oder einen Prototyp dafür gemacht zu haben. Bis heute waren es alles Trojaner und keine Würmer. Und für einen Trojaner braucht man wirklich keinen Aufwand zu treiben, wie sie es tun.
<br>

Also gut, es bräuchte also idealerweise, wenn ich dich jetzt richtig verstanden habe, eine Mail von vertrauenswürdiger Quelle, wie sie von einem Wurm/Trojaner/wie auch immer ausgelöst werden könnte über´s Adressbuch, die einen anderen User zum Start eines Widgets überredet, welches er eigentlich sowieso schon hat. . Und nun sollte sich eine Meldung auftun, dass dieses Programm zum ersten mal gestartet wird, was aber manchmal dummerweise nicht tut.
<br>
<br>Guut, dann hatte ich da wirklich etwas missverstanden. Hej, warum erklärst du das nicht gleich so? Danke.

da ich den thread angeworfen habe bedanke ich mich jetzt mal bei MacMark, der sehr viel mehr licht in die Geschichte gebracht hat.
<br>
<br>damit wird wohl einigen noch klarer geworden sein, das man alles gegenlesen muss und gegebenenfalls noch ein wenig recherchieren sollte um sich sicher zu sein das der artikel stimmt ...
<br>
<br>apple hat in meinen augen dennoch etwas "gestümpert" was die sicherheit angeht - zumindest was das dashboard und was die zeitspanne des passwortes angeht (was MacMark schrieb).

Daß das Password für Sudo-Befehle eine kurze Zeit weiterhin gilt ist normales Verhalten von Unix-ähnlichen Betriebssystemen und kein Fehler.
<br>
<br>Der Bug beim Dashboard liegt darin, daß es bei manchen Widgets die Sicherheitsabfrage beim Installieren nicht macht. Das Installieren passiert beim ersten Aufruf. Dieser Aufruf kann auch von Safari kommen, wenn "sicher Dateien nach Download öffnen" ausgewählt ist bei Safari.
<br>
<br>Es wird die Sicherheitsabfrage nur bei potentiell gefährlichen Widgets gemacht. Das sind welche, die mindestens einen der festgelegten Bereiche nutzen wollen wie Netzwerk oder Dateien außerhalb des Widget-Pakets und noch einige andere Dinge.
<br>
<br>Der Bug ist, daß manche Widgets, die in diese Kategorie fallen, keine Sicherheitsabfrage bekommen, sondern wie ein ungefährliches Widget ausgeführt und installiet werden bei ersten Starten.
<br>
<br>Darauf aufbauend kann man nun ein gefährliches Widget schreiben, was fehlerhafterweise keine Abfrage bekommt und dem Benutzer unterjubeln per Email oder Download oder wie auch immer.
<br>
<br>Die fehlende Abfrage scheint mit dem automatischen Öffnen von Safaris Downloads in Verbindung zu stehen.
<br>
<br>Als Übergangslösung (besser noch generell) die Option in Safari zum automatischen Öffnen von Downloads abstellen. Und wenn man sich bewußt ist, daß ein Widget per Definition alles kann, was auch ein normales Programm könnte, sollte man bei Widgets genauso vorsichtig mit dem Doppelklick sein wie bei normalen Programmen.
<br>
<br>Der Bug in Dashboard in Verbindung mit Safaris automatischem Öffnen ermöglicht die vollautomatische Installation eines "bösen" Widgets ohne Sicherheitsabfrage und ohne daß der Benutzer es selbst öffnet.
<br>Aber: Das böse Widget wird nicht automatisch gestartet. Das muß der Benutzer in diesem Szenario im Dashboard per Hand machen. Das seltsame ist, daß der Bug die Installation ohne Starten durch den User ermöglicht.
<br>
<br>Es ist nicht leicht zu verstehen, weil man wissen muß, wie Widgets generell gehandhabt werden laut Sicherheitsmodell des Dashboards, und was ein Bug ist und was nicht und warum
<br>
<br>Das Sicherheitsmodell ist hier definiert:
<br>http://developer.apple.com/documentation/AppleApplications/Conceptual/Dashboard_Tutorial/Security/chapter_10_section_1.html#//apple_ref/doc/uid/TP40001340-CH210-TPXREF101
<br>Dort sind die Aktionen gelistet, die als gefährlich gelten und die deklariert werden müssen und sonst nicht funktionieren und bei denen der Benutzer sein okay geben muß beim ersten Start, der die Installation auslöst.
<br>
<br>Wie gesagt: Das Sicherheitsmodell funktioniert zur Zeit nicht so, wie es geplant war. Das ist der Bug. Wenn es funktionieren würde, wäre alles ok.
<br>
<br>Und auf deutsch auf meiner Seite (siehe RSS-Feed).

<br>@@MacMark, ist eigentlich nicht sicherheitsrelevant, aber Du schreibst
<br>Und neuerdings auch per RSS-Feed zu erreichen:
<br>feed://www.realmacmark.de/rss.php
<br>
<br>Könntest Du uns beschreiben wie der feed zu benennen ist,
<br>dass wir auch Deine news im Screensaver sehen können ?
<br>So wie auf MacOSxHints für sich selbst erklärt http://www.macosxhints.com/article.php?story=20050503144058333#comments
<br>
<br>

Fearless Fosdick
<br>Den Schoner kannte ich noch gar nicht. Ist ja cool! Habe es grad mal probiert. Also für meinen RSS-Feed:
<br>In Safari diese URL bookmarken: feed://www.realmacmark.de/rss.php
<br>Dann im Schoner unter Optionen den Feed mit Namen "MacMark: OS X Hilfen" auswählen und schon gehts los.

<br>WOW, wer hätte das gedacht.
<br>
<br>Geht ja mit Deinem Tip auch viel einfacher
<br>als mit dem macosxHints-hint.
<br>
<br>Vielen herzlichen Dank.
<br>
<br>

Der Schoner stellt alle RSS-Feeds zur Auswahl, die in den Bookmarks von Safari sind.

Ties-Malte<br>
<br>Genau. Und das ist das von Tag 1 an kritisierte Feature von Safari (und hat eigentlich nichts mit den Widgets zu tun, es ist ein Safari Problem). Insofern meine Bemerkung, dass der Thread nichts neues bringt.
<br>

Dito, allerdings mit NAV8 und nach dem es keine updates mehr gibt, lösch ich es bei Gelegenheit auch unter Panther…Unter Tiger störte es massiv und wurde eliminiert.