hilfdirselbst.ch
Facebook Twitter gamper-media

Linkliste für Browser und CSS zusammengetragen von ganesh

WolfJack
Beiträge: 2851
27. Mai 2004, 01:43
Beitrag #1 von 7
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Surfen unter Mac OS X bietet weiterhin Angriffspunkte

Mit dem Security Update vom 24. Mai hat Apple nicht alle in letzter
Zeit bekannt gewordenen Schwachstellen behoben, sondern lediglich den Help Viewer ausgetauscht[1]. Er lässt sich in der aktualisierten Form (für Mac OS X 10.2.8[2] / 10.3.3[3]) nicht mehr von manipulierten Help-URLs auf Web-Seiten anweisen, Programme oder Skripte zu starten.

Nach wie vor lassen sich jedoch über speziell präparierte URLs der Form "disk://...." Disk Images an eine klar definierte Stelle im Dateisystem einhängen. Das alleine schadet zwar nicht, führte aber mit dem alten Help Viewer zu dem Sicherheitsproblem[4] in Web-Browsern. Immerhin schafft es ein Angreifer über diesen Weg, sofern man keine Gegenmaßnahmen[5] ergriffen hat, seinen Code auf den Rechner des Surfers zu schmuggeln. Der HelpViewer scheidet nun zwar als Starthelfer aus, unter Umständen gelingt ein Programmstart aber über die LaunchServices des Betriebssystems.

Ebenfalls noch nicht behoben ist das problematische Verhalten von
telnet-URLs[6], das es ermöglicht, vorhandene Dateien zu überschreiben, wenn deren Speicherort bekannt ist. (adb[7]/c't)

URL dieses Artikels:
http://www.heise.de/...y/news/meldung/47607

Links in diesem Artikel:
[1] http://www.heise.de/...ticker/meldung/47565
[2] http://www.apple.com/...-05-24_(10_2_8).html
[3] http://www.apple.com/...-05-24_(10_3_3).html
[4] http://www.heise.de/...ticker/meldung/47522
[5] http://www.heise.de/...ticker/meldung/47522
[6] http://www.heise.de/...ticker/meldung/47324

---
mfG
WolfJack

---
http://www.webdesignausberlin.de/
http://www.eierschale-berlin.de Top
 
X
Anonym
Beiträge: 22827
27. Mai 2004, 06:55
Beitrag #2 von 7
Beitrag ID: #87497
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Die Firma Heise scheint da wohl irgend etwas zu verwechseln.
Oder haben Sie schon einen „Angriff" erlebt bzw. können von einem berichten.

Einmal abgesehen davon, diese sich häufenden negativen Attacken in Richtung Apple ist mehr als billig und s o l a n g w e i l i g
als Antwort auf: [#87495] Top
 
WolfJack
Beiträge: 2851
27. Mai 2004, 12:32
Beitrag #3 von 7
Beitrag ID: #87563
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Und noch viel l a a a a n g w e i l i g e r sind anonyme Spams..
du Schlaumeier..
:-Ü
---
mfG
WolfJack

---
http://www.webdesignausberlin.de/
http://www.eierschale-berlin.de
als Antwort auf: [#87495] Top
 
r a c
Beiträge: 955
27. Mai 2004, 12:33
Beitrag #4 von 7
Beitrag ID: #87565
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Es ist schön, dass sich in der Apfel-Welt alle Sorgen um die Sicherheit machen. Man muss alle Bedenken _sehr_ Ernst nehmen.

Für Windows-Nutzer:
Es muss schon klar sein: alleine Windows ist wirklich unsicher! Da gibt es Würmer, die durch offene Ports schleichen, da gibt es Vieren und bevor es ganz Vergessen geht, auch das Jahr-2000-Problem war keines auf dem Mac.

Die oben genannten Sicherheitslücken sind akademisch. Im Netz haben solche Angriffe noch nicht stattgefunden. Und sie werden hoffentlich auch behoben bevor es soweit kommt, gerade dank solchen Diskussionen.

Aber Sicherheit auf dem Mac ist nicht das selbe, wie "Sicherheit" auf Windows.

Grüsse r a c
als Antwort auf: [#87495] Top
 
WolfJack
Beiträge: 2851
27. Mai 2004, 12:44
Beitrag #5 von 7
Beitrag ID: #87570
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Hi rac,
es sind keine Bedenken! Es sind real übergreifende Sicherheitslücken im OSX-eigenen Safari-Browser, also nicht im OS..
Das Sicherheits-Update ist nicht umsonst im Angebot..
Aber wenn du meinst, nicht im Glashaus zu sitzen, ist das dein Ding, wenn du weiter mit Steinen schmeisst! Wir werden sehen..
:-P
---
mfG
WolfJack

---
http://www.webdesignausberlin.de/
http://www.eierschale-berlin.de
als Antwort auf: [#87495] Top
 
gd
Beiträge: 289
27. Mai 2004, 15:21
Beitrag #6 von 7
Beitrag ID: #87634
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Hi,

warum so aggressiv?

Stimmt doch, man sollte wirklich nicht alles so ernst nehmen was der Heise Verlag publiziert. Um OS X schlecht zu machen war den Leuten bislang jedes Mittel recht. Sollte man eigentlich wissen.

Bin auch der Meinung, das Du vergebens auf eine „Attacke" warten wirst.

Gruß Dietmar
als Antwort auf: [#87495] Top
 
WolfJack
Beiträge: 2851
27. Mai 2004, 16:04
Beitrag #7 von 7
Beitrag ID: #87649
Bewertung:
(2098 mal gelesen)
URL zum Beitrag
Beitrag als Lesezeichen

Safari unsicher?


Aggressiv? Wer ist hier aggressiv..
Heise.online steht anerkanntermaßen nicht im Verdacht, parteiliche Falschmeldungen zu verbreiten. Der Artikel von (adb/c't)

Hier noch einmal triftige Gründe, den "Trend" ernst zu nehmen:

Unsicheres Surfen mit Safari

Eine geschickte Verkettung mehrerer Funktionen von Mac OS X erlaubt es bösartigen Angreifern, beim Aufrufen einer Webseite mit Apples Web-Browser Safari beliebige Programme auf dem Rechner des Besuchers auszuführen. Dazu muss im Bereich "Allgemein" der Einstellungen von Safari lediglich die Option "Sichere Dateien nach dem Laden öffnen" aktiviert sein. Dann zeigt der Browser nach einem Download Disk-Images (erkennbar an der Endung ".dmg") automatisch als Laufwerke am Schreibtisch an.

Das ist noch nicht weiter gefährlich -- aber da das Betriebssystem Laufwerke immer unter /Volumes/Volumename ins System einbindet, ist einem Angreifer deshalb der Pfad zu einem AppleScript oder Programm auf dem Disk-Image bekannt. Über eine URL der Form "help:runscript=..." lässt sich vom Web-Browser aus der systemeigene Help-Viewer öffnen, der wiederum, wenn es so in der URL steht, über sein Skript "OpnApp" die eingeschmuggelte Software startet. Die kann dann mit den Rechten des aktuellen Benutzers zumindest in dessen Home-Verzeichnis nach Belieben schalten und walten. Gehört der Anwender gar zur Gruppe der Administratoren, kann sie sich unter Umständen sogar fest in den Startablauf von Mac OS X einhängen und wäre dann nach jedem Systemstart erneut aktiv.

Um auf der sicheren Seite zu sein, genügt es, die Option "Sichere Dateien nach dem Laden öffnen" abzuschalten. Diese Funktion ist der eigentliche Türöffner für Angreifer. Das Ausführen einer Help-Viewer-URL funktioniert in anderen Browsern ebenso.

Die Sicherheitslücke ist bereits detailliert im Internet beschrieben. Dort muss man zwar noch zweimal klicken, um die Anfälligkeit demonstriert zu bekommen, über Meta-Tags im HTML-Code einer Web-Seite lässt sich der Download eines Images und das Starten einer Anwendung darin jedoch automatisieren. Das gesamte Procedere geschieht zwar nicht unsichtbar für den Anwender, kann aber je nach Internet-Anbindung und Rechner so schnell ablaufen, dass man realistisch keine Chance hat, es zu unterbinden. (adb/c't)

Eine harmlose Demo für die Funktionen, die in der Sicherheitslücke ausgeführt werden können, gibt es hier:

http://bronosky.com/pub/AppleScript.htm

---
mfG
WolfJack

---
http://www.webdesignausberlin.de/
http://www.eierschale-berlin.de
als Antwort auf: [#87495]
(Dieser Beitrag wurde von WolfJack am 27. Mai 2004, 16:06 geändert)
Top
 
X