Nutzt Ihr Mac OS X 10.4 alias Tiger, dann VORSICHT

Seite 1 von 1
neuester Beitrag: 10.05.05 10:42
eröffnet am: 10.05.05 08:29 von: EinsamerSam. Anzahl Beiträge: 4
neuester Beitrag: 10.05.05 10:42 von: MaxCohen Leser gesamt: 244
davon Heute: 1
bewertet mit 0 Sternen

10.05.05 08:29

24466 Postings, 6063 Tage EinsamerSamariterNutzt Ihr Mac OS X 10.4 alias Tiger, dann VORSICHT

Vorsicht bei Widget-Downloads mit Apples Safari

Bei Mac OS X 10.4 alias Tiger hat Apple bei der Konfiguration seines Web-Browsers Safari Komfort über Sicherheit gestellt. Die in Tiger standardmäßig aktivierte Option "'Sichere' Dateien nach dem Laden öffnen" erleichtert es unter Umständen Angreifern, unbemerkt Software auf einem Mac zu installieren. Schon vor einem Jahr hatte diese Option Safari unter Mac OS X 10.3 eine Sicherheitslücke beschert.
Anzeige

Unter Tiger ist es nun das Zusammenspiel mit dem neuen Dashboard, das zumindest ein ungutes Gefühl hervorruft. Im Dashboard lassen sich kleine Hilfsprogramme platzieren, Widgets genannt, die in vielen Situationen den Einsatz einer ausgewachsenen Anwendung überflüssig machen sollen.

Apple wollte es den Anwendern von Mac OS X 10.4 bei der Installation von Widgets für das neue Dashboard besonders einfach machen. Deshalb installiert Apples Web-Browser Safari in den Werkseinstellungen Widgets nach dem Download ohne Nachfrage im Verzeichnis /Library/Widgets im Home-Verzeichnis des angemeldeten Benutzers. Das heruntergeladene Zip-Archiv landet danach automatisch im Papierkorb. Startet eine Web-Seite den Download von sich aus, ohne dass der Surfer erst einen Link anklicken muss, bekommt er unter Umständen nichts davon mit. Im Download-Verzeichnis befindet sich schließlich keine neue Datei mehr, lediglich der Download-Manager von Safari weist den Vorgang aus.

Das ist unschön, stellt aber noch keine Sicherheitslücke dar. Das installierte Widget befindet sich nämlich nur im Widget-Vorrat und das System startet es erst dann, wenn es der Anwender explizit auf dem Dashboard platziert hat. Der dafür zuständige Prozess "DashboardClient" arbeitet mit den Rechten des angemeldeten Benutzers, ein böses Widget könnte deshalb nur begrenzt Schaden anrichten.

Dennoch: Neugierige Anwender mit ausgeprägtem Ausprobiertrieb wollen möglicherweise schnell eine Antwort auf die Frage "Huch, was ist denn das?" bekommen und probieren deshalb auch unbemerkt installierte Widgets aus -- aus Quellen, denen sie sonst nie vertrauen würden.

Wer die automatische Installation von Widgets verhindern möchte, schaltet in den Safari-Einstellungen im Bereich "Allgemein" einfach die die Option "'Sichere' Dateien nach dem Laden öffnen" ab. Dann öffnet Safari allerdings auch keine PDFs, Bildern und Sounds mehr automatisch, sondern lädt sie nur noch herunter.

Quelle: heise.de

...be invested
  
Der Einsame Samariter

 

10.05.05 10:07

1502 Postings, 7471 Tage MaxCohenWird der Schwachsinn hier auch schon verbreitet

Wenn ich ein Programm herunterlade landet es auf dem Desktop und wenn ich das Programm starte kann es gefährlichen Code ausführen.

Wenn ich ein Widget herunterlade, landet es im Dashboard und wenn ich das Widget starte und es ausführbaren Code enthält, kann es gefährlichen Code ausführen.

Wo ist da die Sicherheitslücke?

Es wird außerdem vergessen, daß jedesmal wenn ich ein Programm oder ein Widget mit ausführbaren Code installiere noch einmal extra nachgefragt und nach dem Administratorpasswort verlangt wird. Ich kann also keinen ausführbaren Code auf dem Computer ohne ausdrücklichen Wunsch eines mit Administratorrechten versehenen Users plazieren.






Grüße Max  

10.05.05 10:10

24466 Postings, 6063 Tage EinsamerSamaritertja, Max, das sagst Du (mit Erfahrung)

und was ist mit allen anderen....? Sind die "fit" im Umgang mit Apples' Tiger? Vielleicht gibt es ja doch noch Laien, die es nicht wussten...?!

...be invested
  
Der Einsame Samariter

 

10.05.05 10:42

1502 Postings, 7471 Tage MaxCohenDeswegen

muß man ja bei jeder Installation das Administratorpasswort angeben, sozusagen als Hinweis, daß man die Verantwortung für das Installierteübernimmt. Erst wenn ausführbarer Code ohne Nachfrage nach dem Administratorpasswort installiert werden kann, kann man in meinen Augen von einer Sicherheitslücke sprechen. Gegen Dummheit des Users ist kein System gesichert.





Grüße Max  

   Antwort einfügen - nach oben