Logo Adobe Certified Expert (ACE) und Adobe Certified Instructor (ACI) für Adobe Acrobat

20. Februar 2006

Sicherheitsleck in Apples Safari [Update]

Blitz [Illustration]macnews.de beschreibt in einem längeren Artikel ein Sicherheitsproblem, das so tatsächlich nur unter OS X vorkommen kann, und das Safari durch eine leichtsinnige Voreinstellung von Apple leider noch unterstützt. Hintergrund ist die Möglichkeit, einer Datei ein beliebiges Icon zu geben, das nichts mit dem Programm zu tun haben muss, das die Datei letztlich ausführt.

Das Beispieldokument, das bei macnews gezeigt wird (es stammt von Michel Lehn und kann hier heruntergeladen werden. Achtung: das Skript wird geladen und sofort ausgeführt!) besteht aus einem Skript, das im Terminal ausgeführt wird und dort »Hallo, Welt!« ausgibt.

# /bin/bash
while true; do
echo "Hallo Welt!"
done

Seine Besonderheit ist, dass es nicht das Terminal-Icon trägt sondern ein MPEG-Icon – und der Benutzer deshalb meint, er würde ein Video starten, während sich tatsächlich das Terminal öffnet und das Skript ausführt. Das könnte dann beliebige Aktionen durchführen, zumindest soweit nicht zusätzlich ein Passwort erforderlich ist. Dazu gehört mindestens das Löschen des Home-Verzeichnisses, bei Admin-Accounts noch um einiges mehr.

Grundsätzlich war das schon immer möglich. Auch unter Mac OS 9 konnte man AppleScripts verbreiten, die sich genau so verhalten. Solange sich derartige Schaddateien nicht wie Viren selbstständig verbreiten, stellen Sie keine übermäßige Gefahr da, da der Anbieter der Software in der Regel bekannt ist und haftbar gemacht werden kann. Wer seinen Verstand beisammen hat, wird sich hüten, solche Dateien in Umlauf zu bringen.

Allerdings setzt Safari noch ein Sahnehäubchen drauf: Das Skript ist zusätzlich in ein .zip-Archiv verpackt und veranlasst Safari bei Klick auf obigen Link, die Datei automatisch herunterzuladen, sie auszupacken und den Inhalt automatisch zu starten. Ups.

Dieser ganze Zusammenhang ist nicht neu, er wird nur jetzt im Rahmen der »neuen Sensibilität« nach der ersten echten Virusmeldung für Mac OS X, etwas ernster genommen als bisher. Mein dringender Rat: schalten Sie in den Voreinstellungen von Safari die Einstellung »Sichere Dateien nach dem Laden öffnen« aus. Ich habe das schon in der ersten Safari-Version gemacht und seitdem nie bereut. Woher soll denn Safari wissen, was eine »sichere« Datei ist?

Ein weiterer sinnvoller Rat, den ich auch schon zu OS-9-Zeiten gegeben habe: Öffnen Sie Dateien, die Sie aus dem Internet laden, nicht mittels Doppelklick. Klicken Sie mit der rechten Maustaste (oder gedrückter Ctrl-Taste) auf die Datei und wählen Sie »Öffnen mit …«. Das ist viel sicherer; in diesem konkreten Fall erhalten wir nämlich die Fehlermeldung, dass der QuickTime-Player die Datei nicht öffnen kann, weil es kein lesbares Format ist.

Michael Lehn hat Apple aufgefordert, endlich dafür zu sorgen, dass eine Datei immer das Icon desjenigen Programms tragen muss, das es auch ausführt. Dem kann ich nur zustimmen, ich fand das schon immer irritierend und vor allem riskant. Ich möchte dem allerdings noch zwei Forderungen hinzufügen:

  • Ein ausführbares Programm muss immer ein spezielles Icon oder einen Zusatz zum Icon aufweisen, das es als ausführbar kennzeichnet.
  • Die Voreinstellung in Safari muss auf »White Listing« umgestellt werden: derzeit werden alle Dateien geöffnet, solange sie nicht als unsicher eingestuft werden. Das muss umgekehrt werden: es dürfen nur Dateien geöffnet werden, die explizit als sicher eingestuft werden. White Listing ist nun mal sehr viel sicherer als Black Listing.

Update

Eine schöne Beschreibung des Problems mit mehr Details ist bei Heise zu finden. Dort wird auch erklärt, warum das Skript ohne Nachfrage vom Terminal ausgeführt wird: Das Terminal leitet nämlich ohne Interpreteranweisung (das heisst ohne die Shebang-Zeile #!/bin/bash) einfach an die Standard-Shell weiter. Auch das ist eigentlich als Sicherheitslücke zu betrachten.

Heise empfiehlt zusätzlich zu den obigen Maßnahmen noch, das Terminal in einen anderen Ordner zu verschieben (bei Systemupdates sollte man es aber vorher zurücklegen). Ausserdem sollte man nicht als Systemadministrator arbeiten – leider ist das in der Druckvorstufe aufgrund der recht oft fehlerhaften Installer von Adobe-Programmen sowie falsch konfigurierten Plugins mit ziemlichen Hindernissen verbunden.

Von Peter am 20.02 um 20:45 Uhr. Kategorie: Mac-OS-X

Trackbacks

  1. Trackback-URL: http://www.lisardo.de/trackback/304/QhTCtMop/

  2. Sicherheitslücke im Safari

    Eine recht brisante Sicherheitslücke weist der Apple eigene Webbrowser Safari auf. Wie Macnews ausführlich anführt wird dringend empfohlen die Standardeinstellung des Safaris schnellstens umzuändern. Konkret geht es um die Einstellung “Siche...
    Verlinkt von: Mastblau am 20. 02 2006

Kommentare

  1. Um den unvermeidlichen Kommentarspam zu verringern, musste ich leider einige Hürden einbauen: zunächst muss eine gültige E-Mailadresse eingegeben werden, die allerdings auf der öffentlichen Webseite nicht erscheint. Ausserdem kann der Kommentar erst nach dem Aufrufen einer eigenen Vorschau-Seite gespeichert werden. Sie müssen ausserdem einen Namen angeben (Vorname, Nachname, Spitzname oder Pseudonym).
Dieser Eintrag kann nicht mehr kommentiert werden.

Aktuelle Seminartermine:

Seminarkalender abonnieren

Icon einer Kalenderdatei
Seminarkalender als .ics-Datei: Für Kalenderanwendungen herunterladen (alle Systeme)
Icon einer Kalenderdatei
Seminarkalender für iCal: Kalender abonnieren (nur Mac OS X)