Root-Exploit im ARDAgent von Mac OS X verhindern

Wie Intego gemeldet hatte, gibt es im ARDAgent eine Sicherheitslücke, welche jedem angemeldeten Benutzer, und sei er nur ein Gast, das Erlangen von Root-Rechten ermöglicht. Heise Online hat das Problem genauer untersucht und zwei mögliche Lösungen zur Wiederherstellung der Sicherheit aufgezeigt. Der offensichtlichste Weg ist das Entfernen des ARDAgent (/Applications/Remote Desktop.app, /System/Library/CoreServices/ARD Agent.app, /System/Library/CoreServices/RemoteManagement und /Library/Receipts/RemoteDesktop*). Eine andere und elegantere Option ist die Entziehung der Root-Rechte für den ARDAgent (sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/C ontents/MacOS/ARDAgent). Für beide Lösungen muss man als Administrator angemeldet sein. Alternativ kann man den Root-Exploit selbst zur Schließung der Sicherheitslücke nutzen, beispielsweise mit: osascript -e 'tell app "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/C ontents/MacOS/ARDAgent"';

Weiterführende Links:

Kommentare

Penungu
Penungu20.06.08 10:25
dieser text lässt die ganze seite breiterwerden
0
Slartibartfast
Slartibartfast20.06.08 10:27
Ich hatte schon immer was gegen die ARD
There is no spoon.
0
Slartibartfast
Slartibartfast20.06.08 10:27
die das
There is no spoon.
0
Dirk!20.06.08 10:30
Den Exploit mit sich selbst zu schließen ist nett!

Dass so eine Lücke fahrlässige, mit der jeder Nutzer des Systems Kommandos mit Root-Rechten ausführt existiert, finde ich allerdings übel.
0
schweigende_mehrheit
schweigende_mehrheit20.06.08 10:38
Bei mir geht's nicht: :
Ich bekomme als Antwort auf den sudo-Befehl: operation not permitted (als Admin ausgeführt).
Und wenn ich den ARD das Script ausführen lasse, erscheint danach nur ein Cursor: Ist der Befehl nun ausgeführt oder nicht?
Bin halt kein grosser Unix-Zampano.
0
iPatrick20.06.08 10:46
Naja, besser ARD als RTL.

Und ich würde ja nicht irgendwelche Befehle von einer Website abtippen. Es sei denn ich wüsste, was sie bewirken.
0
Dirk!20.06.08 10:53
In Gegensatz zu Dir wissen vielleicht einige, was sie bedeuten.

Und auch, dass sie den Befehle mit "u+s" statt "u-s" wieder rückgängig machen können, falls es Probleme gibt. Dann allerdings nur mit sudo.
0
sb20.06.08 11:05
schweigende
Ich glaube, beim letzten Befehl muss noch ein Semikolon hinten dran.
🎐 Sie werden häuslichen Frieden, finanzielle Sicherheit und gute Gesundheit genießen.
0
Macedes20.06.08 11:13
ich warte bis apple was dagegen tut, dürfte nicht lange dauern.... hoffe ich
0
schweigende_mehrheit
schweigende_mehrheit20.06.08 14:22
Stefan
Glaube, es hat jetzt geklappt. Danke für den Hinweis!
0
iCode
iCode20.06.08 16:22
Und gebt niemandem mehr den "Tip" die Rechte zu reparieren. Sonst stehen alle die sich nun wieder in Sicherheit wiegen nachher im Regen.
0
cordney20.06.08 16:29
Um die ganze Geschichte mit dem SetUID Bit nochmal besser zu machen:
Mit "ls -l" kann man sich die Rechte der Datei im Terminal anzeigen lassen.

vorher:
-rwsr-xr-x 1 root wheel 1439952 16 Nov 2007 ARDAgent
man sieht hier das "s" für setUID

Eingabe:
sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/C ontents/MacOS/ARDAgent

nachher:
-rwxr-xr-x 1 root wheel 1439952 16 Nov 2007 ARDAgent
weg isses. Finde ich erheblich besser als einen unnötigen Dienst zu aktivieren, der dann ein zusätzliches mögliches Einfallstor öffnet (so wenig Dienste wie möglich aktivieren).
So, hoffe das hilft einigen. Hab mich extra dafür angemeldet hier
0
Dirk!20.06.08 16:45
cordney
So, hoffe das hilft einigen. Hab mich extra dafür angemeldet hier

sehr lobenswert
0
someone20.06.08 17:12
iCode
Das Rechtereparieren ist sowieso ein Unding, sowas ist eigentlich nur noetig weil anderweitig rumgepfuscht wird, sei es jetzt von Apple oder vom User...
0
iNsAnE20.06.08 17:15
Da ich den ARDAgent sowieso nicht brauch, kann ich den auch einfach problemlos löschen oder entstehen dann Probleme mit Leopard?
0
iCode
iCode20.06.08 17:36
someone
Das Problem ist, dass unbedarfte Helfer noch unbedarfteren Hilfesuchenden, mit wiederkehrender Regelmäßigkeit weiss machen, sie müssten hin und wieder die Rechte reparieren, dabei ist das Thema bereits seit Jaguar obsolet.

In diesem konkreten Fall würde somit aufgetragene "Pflaster" heruntergerissen, und der unsichere Zustand von vorher wieder hergestellt.

0
iCode
iCode20.06.08 17:40
iNsAnE
Was spricht gegen die anderen drei Pflaster, bis das Problem behoben ist?
0
iNsAnE20.06.08 19:43
Naja, weil ich das Programm so oder so nicht brauch Aber auch keine Instabilität des Systems in Kauf nehmen will
0
hugo.21.06.08 22:35
Wie würde denn der Otto Normalverbraucher überhaupt erkennen, dass sich dieses Skript breitgemacht hat?

* Activity Monitor schauen ob ARD läuft, obwohl man den nicht eingeschaltet hat?
* Schauen ob in Library Caches ASthtv05 auftaucht?
* System Preferences kontrollieren und schauen, ob dort Dienste gestartet sind, die man nicht selbst aktiviert hat?
* sonst irgendwelche Tipps oder Ideen?

0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen