Sicherheitslücke ???

Den Bericht habe ich vom Stuttgarter RZ zugeschickt bekommen.
Was meint ihr dazu ???

Gruss Barney

http://cert.uni-stuttgart.de/ticker/article.php?mid=871

[Mac/Software Update] Schwachstelle in der automatischen
Software-Aktualisierung von Mac OS X
(2002-07-08 14:42:51.257839+02)

Quelle: http://cert.uni-
stuttgart.de/archive/bugtraq/2002/07/msg00061.html

Die automatische Software-Aktualisierung von Mac OS X fragt einmal
pro Woche auf dem Appleserver nach neuen Versionen und installiert
sie ggf. mit root-Rechten ohne Authentifizierung. Daher ist es
möglich dem Betriebssystem präparierte Software zum Update
anzubieten.

Betroffene Systeme

" Mac OS 10.1.X
" möglicherweise Mac OS 10.0.X und Mac OS 9.X

Einfallstor
Durch Abfangen der Updateanfrage und Umleiten auf einen gefälschten
Updateserver kann böswillig präparierte Software mit root-Rechten
installiert werden.

Auswirkung
Ein Angreifer kann beliebigen Programmcode auf dem updatenden
Rechnersystem ausführen.

Typ der Verwundbarkeit
design flaw

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Die Software-Aktualisierung von Mac OS X erlaubt die
benutzerfreundliche Aktualisierung des Betriebssystems und
mitgelieferter Programme. In der Standardeinstellung fragt diese
Funktion einmal pro Woche auf dem Appleserver (swscan.apple.com)
nach neuen Versionen und installiert sie ggf. automatisch mit
root-Rechten. Diese Funktion benutzt HTTP als Protokoll ohne jede
Authentifizierung! Daher ist es möglich mit gängigen DNS
Spoofingtools die Updateanfrage auf einen gefälschten Updateserver
umzuleiten und dem Betriebssystem präparierte Software zum Update
anzubieten.

Workaround
Deaktivieren Sie die automatische Software-Aktualisierung:

" Apfel-Menü|Systemeinstellungen|System|Software-Aktualisierung
" Wählen Sie unter Software aktualisieren "manuell" aus.

Gegenmaßnahmen
Bislang liegt kein Patch von Apple vor.

Weitere Information zu diesem Thema

" Mac OS X Exploit: PhantomUpdate (RussellHarding.net)

 

Das prob. ist doch im prinzip gelöst indem man SA automatisch deaktiviert!

 

Also ich musste bis dato noch bei jeder Installation per Software-Aktualisierung ein admin-Passwort zu Fuß eingeben&
Ich weiß nicht, wo da die Sicherheitslücke liegen soll?
Wenn es aber natürlich jemand schafft, mir vorzugaukeln, ich könne ein Update von Apple kriegen und in Tat und Wahrheit handelt es sich um Böses, dann bin ich natürlich schon gearscht. Das hat aber mit der Automatik wenig zu tun!

 

Zitat:
Gefährliche Hintertür in Software-Aktualisierung von Mac OS X?
Wie der Hacker Russel Harding auf seiner Website beschreibt, kann die Funktion Software-Aktualisierung in Mac OS X dazu missbraucht werden, um über das Internet in das System einzudringen. Da sich das Programm Software-Aktualisierung zwar mit einem bestimmten Server bei Apple verbindet, aber dessen Echtheit nicht nachprüft, kann dieser Server von anderer Stelle mit bestimmten Tools "simuliert" werden, und so Software via Software-Aktualisierung aktiv anbieten. Bei der Anzeige der "neuen Software von Apple" muss der Anwender den Download von Updates zwar manuell bestätigen, kann aber nicht sehen, ob das "Update" auch tatsächlich von Apple kommt.
Ein von Russel Harding beschriebener Exploit tarnt sich als Sicherheits-Update und ermöglicht die Anmeldung von beliebigen Usern auf dem betroffenen Mac OS X-System. Die Universität Stuttgart, die das Problem als sehr gefährlich einstuft, empfiehlt, die automatische Suche nach Updates via Software-Aktualisierung auszuschalten und nur noch gezielt nach neuen Updates zu suchen. Software-Updates von Apple sind auch in der AppleCare KnowledgeBase unter http://kbase.info.apple.com/ verzeichnet und von dort herunterladbar. Ein Patch von Apple zur Behebung des Problems ist noch nicht veröffentlicht worden. (ms)

 

ich versteh das ganze problem nicht. ohne rootpw geht doch bei swa garnix. und die swa ist so eingestellt das sie den appleserver kontaktiert.
hat der typ das denn ausprobiert? oder vermutet er das nur?

 

Das Problem liegt darin, dass Du glaubst auf dem Appleserver zu sein, wenn Dir Software ueber SA angeboten wird. Durch DNS Spoofing Tools koennte man aber seinen eigenen Server dazu benutzen vorzugauckeln, man selbst waere der Apple Server.
Wenn Du dann irgendein Bla Bla Update downloads und per Admin PW auf Deinen Rechner installierst, kann es sein, dass diese neu installierte Software eine Tuer fuer jemanden oeffnet.

Gruss

MacELCH

 

Das Problem ist folgendermassen:
Wenn jemand per Softwareaktualisierung sein System updaten will benutzt er die Funktion. Der Rechner verbindet sich mit einem Apple Server.
Hier wird das Update downgeloadet. Irgendwann kommt die Admin-PW Abfrage.
Nach dieser Abfrage wird das Update mit Root Rechten installiert.
Und das ist das "anscheinende" Problem.
Denn niemand kann nachvollziehen bei welchem Rechner sich osx das Update holt.

Fakt ist:
Jemand müsste entweder den Apple-Server hacken und dort die Updates manipulieren. Oder er muss den DNS Server hacken und eine Umleitung vornehmen und hier wieder ein gefälschtes Update vortäuschen. Letzte Möglichkeit wäre den lokalen Rechner direkt manipulieren. (Aber da wäre eh alles zuspät)

Mich wundert das das nochniemand bei MS bemängelt hat.

Wenn man dieser Panikmache Glauben schenkt darf mann nie wieder:
-einkäufe über das Internet tätigen.
Selbst wenn man bei einem Anbieter seine Daten SSL verschlüsselt eingibt, ist es möglich das ein Hacker im Besitz des ssl-zertifikat ist und die Verbindung mitlauschen kann.
- Internetseiten besuchen.
Hier ist es möglich viren oder trojaner zu empfangen.
- Irgenwelche DVDs oder Cds in seinen Computer reinstecken.
Eine CD oder DVD könnte durch einen MA manipuliert sein und beim starten der DVD könnte ein Trojaner oder Virus installiert werden.
- Den MAC aus den Augen lassen.
Ein Einbrecher könnte, solange man außer Haus ist, den Rechner manipulieren.

Also Freunde, nehmt eure Macs mit zur Arbeit, ins Freibad,(Auch hier den MAC mit ins Wasser nehmen.>>Marktlücke Neopren Anzüge),ins Kino, in die Disco, zum Einkaufen, zum Skifahren und und und...

Den Mac einem Sicherheitsdienst überlassen der solange aufpasst?
Niemals, den der könnte den Mac auch manipulieren.

 

Ich denke Apple hat das Problem erkannt und die URL  Apple.de  gleich mal abgeschaltet
;-)))))))))))
xenja

 

Wie groß ist eigentlich die Gefahr,das ich mir von VT ein Programm lade,welches Schaden am Rechner anrichten kann?

Es gibt soviel Tools die einem Funktionen freischalten,die sonst direkt nur über das Terminal als "Root" ausführbar sind.
Wer hat bisher nachgeprüft,ob die alle koscher sind?

Gefahr ist also immer vorhanden.

 

lool