Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Pro

news 21.02.2006 17:02 Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm [Update]

Die Schwachstelle in Apples Betriebssystem Mac OS X zieht weitere Kreise als zunächst vermutet. Neben der Angriffsmöglichkeit über den Web-Browser Safari führt auch Apple-Mail unter bestimmten Umständen Skripte ohne Rückfrage aus.

Dazu genügt es, ein Skript mit der Endung "jpg" als Bild zu tarnen, über den Mac-OS-Finder aber das Programm "Terminal" als Programm festzulegen, das diese Datei öffnen soll. Verschickt man das Skript anschließend als im Format AppleDouble kodierten Dateianhang, so wandert auch die Information, dass das Terminal die Datei öffnen soll, zum Empfänger. Apples Mail zeigt den Anhang mit einem JPG-Dateisymbol an, ein einfacher Klick darauf führt das Skript aber ohne Nachfrage im Terminal aus.

Analog zu vielen Windows-Viren könnte sich auf diesem Wege auch ein Schädling für Mac OS X via Mail verbreiten. Dazu müsste er lediglich Apple-Mail-User mit einem entsprechenden Text zum Öffnen der angeblichen Bilddatei bewegen. Über den Emailcheck von heise Security können Sie sich eine harmlose E-Mail zusenden lassen, die dieses Problem demonstriert.

Das grundlegende Problem liegt darin, dass ein Angreifer bestimmen kann, welche Anwendung eine Datei öffnen soll. Diese Information steckt normalerweise im Ressourcen-Zweig der Datei und ist damit auf das lokale System beschränkt. Um sie übers Netz zu transportieren, kann man jedoch die Mac-typischen Ressourcen so beilegen, dass sie von den zuständigen Programmen ausgewertet werden. Bei der gestern gemeldeten Schwachstelle enthielt das ZIP-Archiv zusätzlich den Ordner __MACOSX mit den Metadaten. Man kann sich beim Öffnen der darin verpackten JPG-Datei auch dann ohne Warnung infizieren, wenn man die ZIP-Datei vorher via Firefox auf seinen Mac heruntergeladen und gespeichert hat. Für E-Mails erlaubt das MIME-Format AppleDouble das Anhängen von Ressource-Zweigen, die Apple-Mail automatisch auswertet. Erschwerend hinzu kommt, dass in beiden Fällen der Typ der Datei über deren Endung ermittelt wird -- also in die Irre führen kann.

Das kostenlose E-Mail-Programm Thunderbird fällt nicht auf den Angriff herein, da es AppleDouble nicht auswertet. Es hilft auch, das Terminal aus /Programme/Dienstprogramme in ein anderes Verzeichnis zu verschieben. Besser noch ist es allerdings, Dateien unbekannten Ursprungs gar nicht erst zu öffnen.

Update:
Die Demo des Emailchecks funktioniert mit Mac OS X 10.4 aka Tiger und Apple Mail 2: Beim Klick auf die angebliche JPG-Datei öffnet sich direkt ein Terminal-Fenster. Bei älteren Versionen erscheint vorher eine Warnung, dass es sich bei dem Anhang um ein ausführbares Programm handelt. Ob dies tatsächlich auf bessere Schutzmaßnahmen zurückzuführen ist oder sich die Demo einfach anpassen lässt, müssen weitere Untersuchungen zeigen.

Siehe dazu auch:

* Apples Safari führt Shell-Skripte automatisch aus auf heise Security
* Präpariertes ZIP-Archiv von heise Security
* Apple-Mail-Demo des Emailchecks auf heise Security

Original (mit Links zum Emailcheck):
http://www.heise.de/newsticker/meldung/69894

Verfasst am: 25.02.2006, 23:21 Der erste MAC-Virus Dichtung und Wahrheit

Die Firma Intego, Hersteller von Antivirus-Software für den Mac, warnt vor einem so genannten "Trojaner" für MacOS X, den sie als "the first Trojan horse that affects Mac OS X" einstufen. Müssen wir nun auch auf dem Mac eine Viren-Flut befürchten?

Zunächst einmal soll der Trojaner näher betrachtet werden. Es handelt sich hierbei nämlich keineswegs um das Werk eines böswilligen Virenautors, sondern zunächst "nur" um einen Proof-Of-Concept, d.h. eine (harmlose) Demonstration. Alle möglichen Schäden, die Intego in der Pressemitteilung erwähnt, sind (derzeit) lediglich theoretischer Natur und werden von dieser Trojaner-Demo nicht verursacht.

Die Demo wurde von Bo Lindbergh in einem Newsgroup-Posting veröffentlicht und funktioniert folgendermassen: Es handelt sich um ein Programm, das im Finder wie eine MP3-Datei angezeigt wird. Und tatsächlich enthält es auch MP3-Daten, so dass es bei einem Doppelklick in iTunes abgespielt wird. Gleichzeitig wird aber eben auch das Programm gestartet. Die Demo zeigt also, dass man unaufmerksame User dazu bringen kann, ein Programm auszuführen, während sie glauben, es mit einer harmlosen MP3-Datei zu tun zu haben. Wie man in dem Screenshot sieht, wird die Datei, trotz MP3-Icon, vom Finder aber korrekt als Programm erkannt und auch als solches angezeigt.

Bei der Demo handelt es sich um ein Carbon-Programm und darauf beruht auch die ganze Täuschung. Während sich nämlich der Programmcode in der Resource-Fork versteckt, enthält die Daten-Fork die MP3-Daten. Das schränkt (glücklicherweise) auch die Chancen auf Verbreitung eines so aufgebauten Trojaners ein, denn die Resource-Fork würde bei einem Download aus dem Internet verloren gehen - das Programm muss immer gepackt (als StuffIt-Archiv) oder entsprechend kodiert (als Binhex-Datei) werden. Der Trick kann mit MacOS X-native Programmen (Cocoa-Applikationen) so nicht wiederholt werden.

Wie groß ist die Gefahr nun also wirklich? Noch einmal: Von dieser Demo geht keine Gefahr aus. Sie kann jedoch als Vorlage für wirklich gefährliche Trojaner dienen (und auf solche wird man nicht lange warten müssen). Ein Trojaner ist jedoch nicht das gleiche wie ein Virus - das Programm gibt vor, etwas anderes (in diesem Fall: eine MP3-Datei) zu sein. Das heißt aber noch nicht, dass es sich auch verbreitet wie ein Virus bzw. Wurm. Bis jemand eine wirkungsvolle Verbreitungsmöglichkeit für Viren/Würmer unter MacOS X gefunden hat, wird man den Trojaner erst einmal von irgendwo herunterladen müssen.

Hier ist also (wieder einmal) der gesunde Menschenverstand gefragt: Auf Dateien, die aus unbekannten Quellen stammen, sollte man nun einmal nicht einfach so draufklicken. Die gleiche Täuschung lässt sich auch leicht auf andere Dateitypen (Bilder, Filme) anwenden, also sollte man nicht nur bei MP3-Dateien misstrauisch sein.

Beitrag von: Dirk (Freitag, 9. April 2004, 11:45 Uhr)

Quelle: http://www.macosx-faq.de/article.php?story=20040409110941132