Trojaner/Wurm für OS X

[MacFlieger]

Wenn ich so Nachrichten lese wie
"In den Laboren von xy sind 3 Varianten des Virus ab für den Mac aufgetaucht."
und
"Alle wurden in der freien Wildbahn nicht beobachtet."
dann frage ich mich doch, wer diese verschiedenen Versionen programmiert hat. Man kann es nicht beweisen, aber es drängt sich ein Verdacht auf...

[Florian]

So sieht es aus. Da fummeln ein paar "Experten" herum, bis sie eine (vermeintliche) Sicherheitslücke  entdecken. Dann wird der Proof-of-Concept geschrieben, also irgendwie ja ein Virus-Prototyp, und groß getönt jetzt sei es aber mal an der Zeit, daß sich die Mac-Anwender endlich Gedanken zur Sicherheit machen - am einfachsten sei es natürlich, diesen Job einer Antivirensoftware anzuvertrauen.
Das heißt natürlich *nicht*, daß alle gemeldeten Lücken mit diesem Kalkül gemeldet werden oder das die AV-Hersteller auch bösartige Programme schreiben und in die Wildbahn lassen, wie manchmal unterstellt wird.
Man sollte nur immer mit einer Portion Skepsis an die Sache gehen.

[MacFlieger]

Das heißt natürlich *nicht*, daß alle gemeldeten Lücken mit diesem Kalkül gemeldet werden

Ne, eine Meldung zu einer Lücke finde ich auch sehr wichtig und nützlich. Sowas sollte man nicht unter den Tisch kehren. Was die Medien aus solchen Meldungen machen, ist natürlich eine andere Sache.

oder das die AV-Hersteller auch bösartige Programme schreiben und in die Wildbahn lassen, wie manchmal unterstellt wird.

Hmm, die Meldungen klingen für mich immer wie ersteres und nicht zweiteres, d.h. schreiben aber nicht freilassen. Ist und bleibt aber natürlich haltlose Spekulation. Aber wer weiß schon...
Cool fände ich es, wenn mal bei einem Virus/Wurm/Trojaner nachgewiesen würde, daß er aus solche einem Labor stammen würde und durch Zufall in die Freiheit entkommen ist (klingt schon so wie Horror-Szenarien in der B-/C-Waffenforschung).

[MacFlieger]

Ein weiteres Programm ist mir unangenehm aufgefallen bei der Arbeit als Nicht-Admin: Adobe Reader. Die Option, daß man die PDFs nicht mit dem Reader in Safari öffnen will, kann man nur als Admin verstellen. Was ein Quatsch. Adobe scheint seine Hausaufgaben nicht nur bei der Zeichensatzverwaltung unter OS X nicht zu machen.

[FOX]

die neue macwelt springt mal wieder mit auf den zug auf:
der erste mac-virus: jetzt richtig schützen!
das blatt ist mittlerweile wirklich elend.

[Florian]

Naja, ein Thema ist es schon. Zwar eigentlich kein Titelthema, und ein echter Virus ist es ja auch nicht, aber z.Z. sind Viren halt in. Schon wieder ein toter Vogel vor der Haustür!

[radneuerfinder]

In der Softwareaktualisierung gibts ein Sicherheitsupdate.

Laut
http://docs.info.apple.com/article.html?artnum=303382
u. a. mit:

A malicious application named Leap.A that attempts to propagate using iChat has been detected. With this update for Mac OS X v10.4.5 and Mac OS X Server v10.4.5, iChat now uses Download Validation to warn of unknown or unsafe file types during file transfers.

und

Description: It is possible to construct a file which appears to be a safe file type, such as an image or movie, but is actually an application. When the "Open `safe' files after downloading" option is enabled in Safari's General preferences, visiting a malicious web site may result in the automatic download and execution of such a file. A proof-of-concept has been detected on public web sites that demonstrates the automatic execution of shell scripts. This update addresses the issue by performing additional download validation so that the user is warned (in Mac OS X v10.4.5) or the download is not automatically opened (in Mac OS X v10.3.9).


Nach meinem kurzen Test kommt diese neue Warnung:

   

nur in Safari, nur beim Download und nur wenn "Sichere Dateien nach dem Laden öffnen" angehakt ist.

Im Klartext: Wer die Automatik ausgeschaltet hat, oder einen anderen Browser benutzt, bekommt beim Öffnen der Datei keine Warnung!


Die Testdatei von Heise:
http://www.heise.de/security/dienste/browsercheck/demos/safari/Heise.jpg.zip

[Florian]

Anstatt die Funktion zu entfernen, kommt nun dieser Flicken. Wie lange wird es wohl dauern, bis der neue Check wieder ausgetrickst wird?
Naja, wenigstens reagiert Apple relativ zügig.

[maya]

In der Softwareaktualisierung gibts ein Sicherheitsupdate.

......

nur in Safari, nur beim Download und nur wenn "Sichere Dateien nach dem Laden öffnen" angehakt ist.

Im Klartext: Wer die Automatik ausgeschaltet hat, oder einen anderen Browser benutzt, bekommt beim Öffnen der Datei keine Warnung!
...

Ich finde das ganze ziemlich verwirrend und widersprüchlich. Warum sollte ich eine Datei öffnen wollen ("Sichere Dateien nach dem Laden öffnen"), wenn ich nicht sicher sein kann, was sich dahinter verbirgt? Das ist doch unsinnig.

m.

[MacFlieger]

Ich finde das ganze ziemlich verwirrend und widersprüchlich. Warum sollte ich eine Datei öffnen wollen ("Sichere Dateien nach dem Laden öffnen"), wenn ich nicht sicher sein kann, was sich dahinter verbirgt? Das ist doch unsinnig.

Das ist eine potentielle Gefahrenquelle, denn diese "sicheren" Dateien werden dann automatisch geöffnet, bevor der User überhaupt einen Blick drauf werfen kann. Ich kann Dir ja auch so eine "sichere" Datei unterjubeln, ohne das Du die wolltest. Z.B. packe ich in eine Website ein meta refresh rein, welches nach 0s Wartezeit die "sichere" Datei downloaded. Solche Vorgehensweise gibt es doch öfters auf Downloadseiten, z.B. Versiontracker ("Bitte warten Sie 10s, der Download startet von selber"). Bei aktivierter Funktion werden die Dateien automatisch runtergeladen, ausgepackt und gestartet. Bei deaktivierter werden die nur runtergeladen und Du mußt sie dann selber entpacken/starten, wobei Du das nur bei Dateien machen wirst, die Du haben möchtest und bei denen Du vorher einen Blick drauf werfen kannst.

@radneuerfinder:
Tja, nur ein Flicken, der das eigentliche Sicherheitsloch offen läßt, das nur in Safari und nur bei aktivierter Funktion da ist. Eine Meldung in anderen Browsern oder bei deaktivierter Funktion ist dann ja nicht nötig.
Diese Funktion hatte schon einmal ein Sicherheitsproblem offengelegt. War damals mit den Hilfe-Dateien, wer sich daran erinnert.
Und nein, dieses Update ist nur ein Flicken gegen Programme. Schädliche Dateien, die keine Programme sind, kommen natürlich immer noch durch. Safari kann ja eine schädliche Datei nicht identifizieren.

[MacFlieger]

BTW, wenn man sich die Dokumentation des Sicherheitsupdates anschaut, dann findet man da erheblich größere potentielle Sicherheitslöcher als dieses überflüssige automatische Öffnen. An einer Stelle ist sogar von einer Rechteeskalation die Rede. Über solche Lücken würde ich mir eher Gedanken machen.

[Florian]

Da hast Du recht, es ist wirklich eine "imposante" Liste. Man kann nur empfehlen, daß Update zu installieren.

[sam]

Werbung, gelöscht.

[daveinitiv]

Juchuu -- Spam.

Jetzt kommt meine unweigerliche Frage -- wann wird das Boardupdate noch mal eingespielt? 

[warlord]

Es nähert sich jetzt wirklich. Es ist schon an ersten Gehversuchen im Hinterhof. Bald darf es auf die Strasse.  Zwei, drei Macken muss es sich aber erst noch abgewöhnen.