Und schon ist das Loch für shell Skripte behoben:

*

Mail

CVE-ID: CVE-2006-0395

Available for: Mac OS X v10.4.5, Mac OS X Server v10.4.5

Impact: Download Validation fails to warn about unsafe file types

Description: In Mac OS X v10.4 Tiger, when an email attachment is double-clicked in Mail, Download Validation is used to warn the user if the file type is not "safe". Certain techniques can be used to disguise the file's type so that Download Validation is bypassed. This update addresses the issue by presenting Download Validation with the entire file, providing more information for Download Validation to detect unknown or unsafe file types in attachments.

*

Safari, LaunchServices

CVE-ID: CVE-2006-0394

Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.5, Mac OS X Server v10.4.5

Impact: Viewing a malicious web site may result in arbitrary code execution

Description: It is possible to construct a file which appears to be a safe file type, such as an image or movie, but is actually an application. When the "Open `safe' files after downloading" option is enabled in Safari's General preferences, visiting a malicious web site may result in the automatic download and execution of such a file. A proof-of-concept has been detected on public web sites that demonstrates the automatic execution of shell scripts. This update addresses the issue by performing additional download validation so that the user is warned (in Mac OS X v10.4.5) or the download is not automatically opened (in Mac OS X v10.3.9).

Na da sag doch mal einer, Apple wäre langsam bei Sicherheits-Updates.

Naja. Im Finder muss man trotzdem aufpassen was man anklickt. Dagegen kann Apple auch keinen Patch veröffentlichen...

Das wurde aber ehrlich gesagt auch Zeit - schließlich ist die Lücke seit mehr als 10 Tagen bekannt.

kann ich nun wieder mit meinem mac ins netz?

MacNuke:
Sorry, aber offensichtlich hat Apple hier aus Marketing-Gründen mit der Veröffentlichung gewartet bis die Feature-Updates für iLife auch fertig/bereit waren. Das ist nicht professionell. Schon gar nicht bei so einer klaffenden Lücke!

Ja, du kannst jetzt wieder strunzdoof irgendwelche Dateien in Mail-Anhängen und Webseiten anklicken ohne Angst zu haben ein Virus kommt ins System...

Im Finder wäre ich aber trotzdem vorsichtig.

@derondi

Steht wo? Könnte auch anders herum sein...

Zumal das keine "klaffende Lücke" war, wenn man nicht strunzdoof alles anklickt was nicht bei 3 im Papierkorb ist...

klaffende Lücke.... hab ich was verpasst? (sick)

MacNuke:
Du hast offensichtlich nicht ganz begriffen welches Potenzial da drin bestand. Also nochmal in langsam:
1. Eine heruntergeladene Zip-Datei wird automatisch entpackt und das darin enthaltene "Material" gestartet. Ist dies ein Skript, dann mit allen Konsequenzen. Dieses Vorgehen ist DEFAULT.
2. Es wurde hier von lehn demonstriert, dass der Dowload automatisch beim ÖFFNEN einer Website gestartet werden kann, OHNE ZUTUN DES USERS!
3. In Mail.app existiert dieses Problem ebenfalls. Mail.app unterstütz darüber hinaus HTML-Mails in der Vorschau.

Dies bedeutet beim Empfang einer entsprechenden Nachricht wird die URL geöffnet, das ZIP automatisch herunter geladen, entpackt uns ausgeführt. Dabei hat der User nur eine Mail in der Vorschau angesehen!!! DAS GIBT ES SONST NUR BEI OUTLOOK

Und hier bitte mal das Demo ausführen. Leider kann man immer noch die falsche JPG Datei ausführen. Muss man zwar von Hand machen, aber als gefixt würde ich die Lücke nicht bezeichnen. Insofern: Recht herzlichen Dank Apple!

Ich würde mir einfach ein kleines Symbol im/am Icon wünschen, dass mich auf eine ausführbare Datei hinweist. Vor einem Jahr (oder mehr?) hatte ich die Idee eines Zahnrades an der Stelle wo bei Aliasen der Pfeil ist. Tja, Apple hat meine Idee wohl nicht gefallen!

@tomvos

Wie soll Apple das fixen? Bei jeder ausführbaren Datei einfach fragen "Wollen Sie wirklich?"
Oder soll Apple eine Bildanalyse drüber laufen lassen, ob es wirklich ein gefaktes Icon ist?

Wie gesagt. Dummheit kann Apple nicht patchen.

@derondi

In Mail wird gar nichts ausgeführt, auch wenn die Vorschau aktiv ist. Erst wenn man es doppelt anklickt.

Safari, klar. Dafür benötigt man ebenfalls entsprechende Befehle auf der Webseite.

Deswegen wurde es auch schnell gefixt. Aber es ist dämlich (sorry) zu behaupten Apple hat die SecUpdates zurück gehalten, wegen iTunes und Co.

tomvos

Ein Programm kann jedes beliebige Icon haben, auch ein harmlos erscheinendes. Wie wäre es mit einem Ordnersymbol für ein Programm, da erwartet man kaum, dass was gestartet wird. Das was man Doppelklick muss man sich schon noch angucken, insbesonders, wenn es unverhofft auftaucht!

Was kann ein System da machen? Immer fragen "Sie sind im Begriff ein Programm zu starten! Wollen Sie das wirklich? Ja, Nein" (Default Nein)

Was verstehst du unter "entsprechende Befehle auf der Website"?
Lehn hat es mit 'nem simplen META-Refresh gemacht.

In Mail wird sehr wohl sehr viel ausgeührt, nämlich HTML mittels Webkit. Das dies nicht gar so trivial wie bei lehns META-Refresher geht ist, klar. Mir würde aber spontan - ohne zu wissen ob Mail das vielleicht doch blockt - ein iFrame einfallen. Vielleicht geht auch SWF, zur Not halt mittels eines Bildes, welches in der Mail ein Link ist. Es muss halt nur eine URL an Safari übergeben werden. Steve würde sagen "Boom! It's that easy!"

Ach ja, ich bin verdammt dämlich nicht anzunehmen, die Feature-Updates wurden zurückgehalten für ein Sicherheitsupdate. Wo kämen wir da hin? Feature-Updates kamen ja noch nie an einem Dienstag - schon gar nicht nach einer Produktvorstellung. Da gibt's immer nur Sicherheitspatches! Und überhaupt: Als ob Apple iLife wichtig wäre.

Und Apple ist völlig chancenlos ausführbaren Code als solchen zu kennzeichnen. Geht ja gar nicht, ein simples Prüfen des x-Bits würde da auf keinen Fall reichen.

@macnuke:

Mir ist egal, wie Apple das fixen soll. Es ist nunmal eine Lücke, so groß wie ein Scheunentor.

Natürlich kann Apple sagen, "it's not a bug, it's a feature" - aber das ändert doch nichts. Mit ein wenig social engineering kann so vielen Leuten mal eben ein root-kit untergeschoben werden.

Man denke da nur an ein angebliches Bild des neuen intel iBooks, das kurz vor dem ersten April irgendwo als kleines Bild gezeigt wird. Und die große Version gibt es direkt daneben als Download. Natürlich gezippt, um Bandbreite zu sparen - schließlich kennt man ja den Slashdot Effekt.

Ich denke, ich muss nicht weiter ausmahlen, was alles möglich ist ...

öhh, natürlich meinte ich ausmalen - nicht ausmühlen.

derondi

"In Mail wird sehr wohl sehr viel ausgeührt, nämlich HTML mittels Webkit."

Tja, was war "enriched text" schön (bis 10.4 kam), aber jeder will ja unbedingt HTML in EMails haben.

Rantanplan:
Wer ist jeder?

Letztens hat mich noch jemand gefragt wie man denn HTML-Mails macht. Da kann man ja so schön ein Logo mit schicken, und der Text sieht ja so doll aus. (sick)

Höflich aber bestimmt hab ich ihr dann zu verstehen gegeben, dass HTML-Mails Dreck sind. Wenn Logos und Text schön aussehen sollen, solle sie doch ein PDF nehmen. Wenn schon ein Übel, dann das geringere!

Ich glaube es wurde eine Textmail mit angehängter PDF - es geht doch.

Auch bei mir lässt sich die Mail Lücke weiter ausnutzen. Direkter Link zum Test:

Das kommt von diesen bescheuerten Datei-Endungen, die seit OS X auch der Mac verwendet. Vorher gab es Dateityp und Creator, und die bestimmten, welches Symbol ein Programm bekommt.

Das System sollte zumindest einfach nachfragen, wenn eine ausführbare Datei eine falsche Endung trägt!

jonez:

Genau die Daten Dateityp und Creator sind hier AFAIK das Problem. Würde Mail nur die Endung verwenden, würde zwar das Icon für eine JPEG-Datei angezeigt werden, aber eben auch nur mit einer dafür geeigneten Anwendung starten - hier z.B. Preview. Preview würde aber bei einem Shellskript schlicht die Meldung bringen, dass die Datei vermutlich korrumpiert sei - das Shellskript aber nicht ausführen.

Da auch Apple's "Terminal" einen Creatorcode in der Info.plist trägt (trmx), lässt es sich durch den Creator dennoch starten.

Mögliche Workarounds:
1) In Mail den Creator schlicht ignorieren.
2) Per Launch Services Informationen anfordern (genauer: per LSGetApplicationForInfo), welche Programme mit der Dateiendung umgehen können, deren Creatorcodes mit dem Creatorcode im Resource-Fork des Anhangs vergleichen und im Falle keiner einzigen Übereinstimmung eine klare Warnmeldung bringen, dass es sich hierbei vermutlich um einen Virus handelt.

Viel Code ist das nicht. Zumal Apple private Launch Services APIs verwenden kann, die zwar definitiv vorhanden, aber nicht öffentlich sind. Sonderlich resourcenhungrig ist das Ganze auch nicht.

Was auch immer Apple da veranstaltet hat, es kann nicht mehr sein als ein Check für ein paar Spezialfälle. Der vom c't Emailcheck scheint darin nicht vorzukommen: ergo ist die Lücke weiterhin offen. Ein Fix war Apple's Nachbesserung nie.

Das Apple bei so einem auch sehr imageträchtigen Sicherheitsproblem derart pfuscht, verstehe ich nicht.

also, ich habe den Test auf nach dem security-update ausprobiert - es passierte gar nichts. Beim heise email Test habe ich die jpg Datei angeklickt - eine Meldung erschien, das dies evtl. eine ausführbare Datei und evtl . nicht sicher sei - vor dem Update hatte sich automatisch das Terminal geöffnet , ohne Nachfrage

also bei mir funktioniert der Test auf nach dem security update auch nicht mehr . Mail teilt mir jetzt freundlich folgendes mit wenn ich versuche das vermeinlich jpg zu offnen:
„Heise.jpg enhält" möglicherweise ein Programm.
Die Sicherheit dieser Datei kann nicht bestimmt werden. Möchten Sie „Heise.jpg“ wirklich öffnen?

Gut, dass man nun bei eingeschaltetes "automatisch öffnen" Option eine Warnung bekommt.

Blöd, dass man bei ausgeschalteter Optionen keine bekommt. Weder beim runterladen, noch beim öffnen.

Vielleicht sollte ein zip File orttzdem geöffnet werden. Wenn es einen Ordner "__MACOSX/" enthält ist es komisch.

Auf jeden Fall sollte aber das Icon eines Files immer das Icon der Applikation sein, die beim öffnen genutzt wird.

D.h. bei einer Endung "mov" nur dann das von QuickTime, wenn QuickTime auch zum Öffnen benutzt wird.

Ich kann das Update nicht installieren. Kein Volume erfüllt die Kriterien ???

Ich habe die Richtige Version, Sharing beendet und alle Programme geschlossen.

Jedes Programm soll ein entsprechendes Icon haben? Aha, und was ist mit Dokumenten? Sollte man vor denen nicht auch warnen?

Was ist denn nun schlimmer, das Aüsführen von Böse Buben.app das mir mein Home löscht oder das ausführen von Böse Buben.applescript (Dokument!) oder Böse Buben.dok das die entsprechenden Kommandos enthält? Es ist doch schon seit 10 Jahren nicht mehr so, dass nur eine Anwendung etwas bewerkstelligen kann, jedes bessere Dokumentenformat hat über die dazugehörige Anwendung Zugriff auf's Filesystem...

Wer auf dem Desktop alles wahllos klickt von dem er nicht weiss wo es her ist oder wozu es gut ist, hat eh ein Problem. Da hilft nur "shutdown now".

Das einzig kritische war der Bug in Safari und der ist behoben.

Entpsannt Euch wieder, was ist an 10 Tagen so schlimm? Der Workaround (Haken in den Prefs aus machen und fertig) war ja bekannt. Aber als die gelangweilten Opas aus der Muppet show ähhh dem Forum wundert man sich immer warum alles so lange dauert. Und überhaupt, wer muss einen Dienst der jetzt systemweit aktiv ist testen? Merkt man ja dann wenn die Leute Bugs reporten weil der Filedownload oder Mail gar nicht mehr gehen. Dann kann man ja nochmal ein Update oder zwei hinterher schieben. Irgendwann wird's dann schon passen.

Ich kann das Update nicht installieren. Kein Volume erfüllt die Kriterien ???

Ich habe die Richtige Version, Sharing beendet und alle Programme geschlossen.

Für 10.3.9 existiert dieses Update übrigens auch. Zumindest hat er es bei mir im Software-Updater angezeigt und auch installiert.

@tomvos

Dann nimm dir ein Bettlaken, packs über deinen Körper, noch nen Topf auf den Kopf und dann mit nem Holzlöffel draufschlagen und immer sagen "Sie kommen... Sie kommen"

Man. Diese "Lücke" gibt es in ALLEN (!!!) Systemen. Weder Linux, noch Windows, noch MacOS sind vor "doppelklicken" geschützt. Da kann alles hinter sein.

Nur wissen viele Windows und Linux-User schon das man nicht strunzdumm alles anklickt was auf dem Desktop rumliegt. Anscheinend wissen das aber nur wenig MacUser...

Last login: Thu Mar 2 08:49:17 on ttyp1
/Users/nopeecee/Library/Mail\ Downloads/Heise.jpg; exit
Welcome to Darwin!
[nopeecees-mac:~] nopeecee% /Users/nopeecee/Library/Mail\ Downloads/Heise.jpg; exit
total 3416
drwxr-xr-x 41 nopeecee staff 1394 Mar 2 08:26 .
drwxrwxr-t 7 root admin 238 Apr 30 2005 ..
-rw-r--r-- 1 nopeecee staff 3 Jan 1 1970 .CFUserTextEncoding
-rwxr-xr-x 1 nopeecee staff 21508 Mar 1 20:00 .DS_Store
-rw-r--r-- 1 nopeecee staff 1646592 Dec 26 2004 .FBCIndex
drwxr-xr-x 3 nopeecee staff 102 Dec 26 2004 .FBCLockFolder
-rw-r--r-- 1 nopeecee staff 1410 Feb 1 2004 .HlwV_options
-rw-r--r-- 1 nopeecee staff 0 Apr 30 2003 .MCXLC
drwxrwxrwt 3 nopeecee staff 102 Nov 4 12:37 .TemporaryItems
drwx------ 2 nopeecee staff 68 Mar 2 08:26 .Trash
-rw------- 1 nopeecee staff 0 May 19 2003 .Xauthority
drwxr-xr-x 13 nopeecee staff 442 Mar 1 18:08 .dvdcss
drwx------ 4 nopeecee staff 136 Oct 31 14:21 .fupfairies
drwxr-xr-x 2 nopeecee staff 68 Aug 28 2004 .java
drwxr-xr-x 4 nopeecee staff 136 May 6 2003 .jpi_cache
-rw-r--r-- 1 nopeecee staff 25 Feb 27 21:22 .lpoptions
drwxr-xr-x 3 nopeecee staff 102 May 2 2004 .mldonkey
drwxr-xr-x 2 nopeecee staff 68 May 11 2003 .mldonkey_cache
-rw-r--r-- 1 nopeecee staff 6480 May 18 2003 .mldonkey_gui.ini
-rw-r--r-- 1 nopeecee staff 6480 May 18 2003 .mldonkey_gui.ini.old
-rw-r--r-- 1 nopeecee staff 7219 May 3 2003 .mldonkey_gui_messages.ini
-rw-r--r-- 1 nopeecee staff 213 May 15 2003 .mldonkey_im.ini
-rw-r--r-- 1 nopeecee staff 213 May 15 2003 .mldonkey_im.ini.old
drwxr-xr-x 3 nopeecee staff 102 May 8 2003 .mplayer
drwxr-xr-x 3 nopeecee staff 102 May 31 2004 .mycomputer
-rw------- 1 nopeecee staff 1024 Feb 15 19:55 .rnd
drwxr-xr-x 4 nopeecee staff 136 Nov 3 14:51 .transmission
drwxr-xr-x 4 nopeecee staff 136 Nov 19 22:22 .wapi
-rw-r--r-- 1 root staff 26923 May 2 2003 .xftcache
drwxr-xr-x 6 nopeecee staff 204 May 31 2004 .xplaneupdate
drwxr-xr-x 27 nopeecee staff 918 Mar 1 22:38 Desktop
drwx------ 176 nopeecee staff 5984 Feb 25 21:27 Documents
drwxr-xr-x 26 nopeecee staff 884 Mar 2 08:26 EyeTV Archive
drwx------ 8 nopeecee staff 272 Dec 26 2004 Faxes
drwx------ 80 nopeecee staff 2720 Mar 1 18:07 Library
drwx------ 133 nopeecee staff 4522 Feb 23 11:23 Movies
drwx------ 14 nopeecee staff 476 Oct 16 13:40 Music
drwx------ 497 nopeecee staff 16898 Mar 1 14:36 Pictures
drwxr-xr-x 21 nopeecee staff 714 Feb 10 18:47 Public
drwxr-xr-x 5 nopeecee staff 170 Nov 18 12:36 Rapidweaver
drwxr-xr-x 77 nopeecee staff 2618 Jan 20 16:23 Sites


heise Security: Sie sind verwundbar.


logout
[Prozess beendet]
(policeman)(policeman)(policeman)(policeman)