*Seuftz*

Bei Onkel Heise:

Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm

Die Schwachstelle in Apples Betriebssystem Mac OS X zieht weitere Kreise als zunächst vermutet. Neben der Angriffsmöglichkeit über den Web-Browser Safari führt auch Apple-Mail unter bestimmten Umständen Skripte ohne Rückfrage aus.

Dazu genügt es, ein Skript mit der Endung "jpg" als Bild zu tarnen, über den Mac-OS-Finder aber das Programm "Terminal" als Programm festzulegen, das diese Datei öffnen soll. Verschickt man das Skript anschließend als im Format AppleDouble kodierten Dateianhang, so wandert auch die Information, dass das Terminal die Datei öffnen soll, zum Empfänger. Apples Mail zeigt den Anhang mit einem JPG-Dateisymbol an, ein einfacher Klick darauf führt das Skript aber ohne Nachfrage im Terminal aus.

Analog zu vielen Windows-Viren könnte sich auf diesem Weg auch ein Schädling für Mac OS X via Mail verbreiten. Dazu müsste er lediglich Apple-Mail-User mit einen entsprechenden Text zum Öffnen der angeblichen Bilddatei zu bewegen. Über den Emailcheck von heise Security können Sie sich eine harmlose E-Mail zusenden lassen, die dieses Problem demonstriert.

Das grundlegende Problem liegt darin, dass ein Angreifer bestimmen kann, welche Anwendung eine Datei öffnen soll. Diese Information steckt normalerweise im Ressourcenzweig der Datei und ist damit auf das lokale System beschränkt. Um sie übers Netz zu transportieren, kann man jedoch die Mac-typischen Ressourcen so beilegen, dass sie von den zuständigen Programmen ausgewertet werden. Bei der gestern gemeldeten Schwachstelle enthielt das ZIP-Archiv zusätzlich den Ordner __MACOSX mit den Metadaten. Man kann sich beim Öffnen der darin verpackten JPG-Datei auch dann ohne Warnung infizieren, wenn man die ZIP-Datei vorher via Firefox auf seinen Mac heruntergeladen und gespeichert hat. Für E-Mails erlaubt das MIME-Format AppleDouble das Anhängen von Ressource-Zweigen, die Apple Mail automatisch auswertet. Erschwerend hinzu kommt, dass in beiden Fällen der Typ der Datei über deren Endung ermittelt wird -- also in die Irre führen kann.

Das kostenlose E-Mail-Programm Thunderbird fällt nicht auf den Angriff herein, da es AppleDouble nicht auswertet. Es hilft auch, das Terminal aus /Programme/Dienstprogramme in ein anderes Verzeichnis zu verschieben. Besser noch ist es allerdings, Dateien unbekannten Ursprungs gar nicht erst zu öffnen.

Siehe dazu auch:

Apples Safari führt Shell-Skripte automatisch aus auf heise Security
Präpariertes ZIP-Archiv von heise Security
Apple-Mail-Demo des Emailcheck auf heise Security
(adb/c't)

Tja, das haben wir uns nun mit den verdammten Dateiendungen eingehandelt. Die Datei wird von Applikation XYZ verarztet, aber die Dateiendung sagt was anderes und dieses zeigt Mail/Finder (fälschlicherweise) an. Ich hoffe, Apple kriegt das spätestens in 10.5 mit den UFIs ordentlich und vor allem *konsistent* hin. Und nicht so ein halbgares Zeug wie derzeit.

Aber das benötigt genauso wie alles andere auch n dummen Benutzer der alles öffnet was er bekommt und wenn ich von jemanden den ich kenne so etwas bekomme weis ich ja schon wem ich was auf den Deckel geben kann. Mann sollte halt nichts öffnen wo man nicht weiß wo es her kommt. Wer es trotzdem tut selber schuld

Gruß Ben

Und wer es doch unbedingt öffnen will auch wenn man den Absender nicht kennt (wie gesagt sehr dumm soetwas zu tun!) kann ja auch noch Rechtsklick@@"Im Ordner für geladene Dateien sichern"@@:apple: + i und nachschauen welches Programm aufgerufen wird.

Ben

Ja ist ziemlich dämlich! Apple sollte, wie ich schon beim Safari-Thread sagte, die Datei- und Open-Erkennung vereinheitlichen.

Zusätzlich das Problem, was aber Mac OS X nicht alleine als Problem hat, das Zuordnen von Icons um vom Inhalt abzulenken! *Grumpf*

Sehr unappetitlich!

ich habe die mail von heise jetzt da. hier wird in der vorschau das bild nicht angezeigt. bei anderen mail mit bildern schon. so kann man die datei, die böse sein sollten, auch erkennen. bloß mit anderen dateien wie z.b. pdf, doc usw. sieht es schlecht aus..
wir sind verloren...:-)

Das Ende von Apple!

Dieter
nein, wenn apple jetzt das firmenlogo ändert... ein apfel mit einem loch, aus dem ein wurm rauskriecht...

BLASPHEMIE, BLASPHEMIE, BLASPHEMIE

Tja, mal wieder bloß der User. Und die OS X-User sind ja bekannt für ihre technische Weitsicht, ganz anders als die Win-User, die sind DAUs. Kann also nichts passieren....

sebbo
Das hat niemand gesagt. Ich hab 10 Jahre mit Windows gearbeitet und auch da nichts geöffnet was mir hinz und kunz oder Leute die ich überhaupt nicht kenne gibt. Das man sowas nicht öffnet sollte ja wohl jedem klar sein. Das ist total egal ob WIN oder OS X

Ok! Alles wird gut! Ein hoch auf Apple! Und das neue Logo!

DarkLord
Tja, das ist dann wohl eine Weltanschauungssache. Ich glaube an die allgemeine Dummheit - ich kenne ja mich.
Du glaubst an die intelligenten Menschen....

Aber gut, ich werde noch etwas deutlicher: es ist also allgemein anerkannte Tatsache dass es völlig normal ist, dass meine Dateien gelöscht werden, wenn ich ein Bild öffne, was sogar per Icon mir zu verstehen gibt, dass es ein Bild ist???? Ich glaub jetzt schlägts 13. Da könnt ihr dreimal sagen, dass ein intelligenter User das trotzdem nicht öffnet, es bleibt ganz klar ein Fehler im System (i.e. Operating-System).