922294

Angriff durch die Hintertür

19.05.2004 | 11:10 Uhr |

Das zum System gehörende Programm Help Viewer kann ein aus dem Internet eingeschleustes Script auf dem Rechner starten und damit Schaden anrichten.

Weist man dem Protokoll help ein anderes Programm zu, kann der Help Viewer nicht mehr automatisch gestartet werden.
Vergrößern Weist man dem Protokoll help ein anderes Programm zu, kann der Help Viewer nicht mehr automatisch gestartet werden.
© 2015

"Ihr Benutzerordner wurde soeben erfolgreich gelöscht". Wenn man eine so ähnlich lautende Meldung auf dem Bildschirm entdeckt, ohne selbst ausdrücklich den Löschbefehl gegeben zu haben, sind feindliche Truppen in den Rechner eingedrungen und haben sich an die Zerstörungsarbeit gemacht. Ursache dafür muss aber nicht ein neuer Virus sein, denn wie in den letzten Tagen im Internet auf verschiedenen Web-Seiten zu lesen war, gibt es im Mac-OS eine Hintertür, die einen solchen Angriff theoretisch ermöglichen könnte.

Schuld ist das Programm Help Viewer, das normalerweise dafür zuständig ist, die Hilfedateien des Mac-OS und der Anwendungsprogramme zu öffnen und anzuzeigen. Das Programm verfügt aber noch über eine andere Fähigkeit: es kann ein beliebiges Script starten. Öffnet diese Script nun das Programm Terminal und lässt es einen Löschbefehl ausführen, gehen hinter dem Rücken des Anwenders Daten verloren, da auf schnellen Rechnern der Vorgang so rasch abläuft, dass man keine Chance hat, noch einzugreifen.

Das schädliche Script gelangt über den Web-Browser auf den Rechner, der den Help Viewer über das Protokoll "help" startet und dann das Script an diesen übergibt. Dabei ist der Angriff nicht wie in den ersten Meldungen im Web aufgeführt auf Safari beschränkt, sondern auch Internet Explorer 5.2 und Mozilla 1.6 (und wahrscheinlich auch jeder andere Browser) können als Überträger dienen. Wer sich diese Aktion einmal in Echtzeit anschauen möchte, öffnet die folgende Web-Seite im Browser: http://bronosky.com/pub/AppleScript.htm
Daraufhin läuft automatisch die komplette Aktion ab. Schaden entsteht jedoch keiner, da im Terminal nur harmlose Befehle verarbeitet werden.

Wie kann man sich schützen?

In manchen Meldungen im Internet wurde empfohlen, in Safari die Option "Sichere Dateien nach dem Laden öffnen" in den Voreinstellungen auszuschalten. Das ist jedoch kein Schutz, da das geschilderte Übergeben eines Scripts an den Help Viewer nicht darauf angewiesen ist, es zuerst als Image-Datei auf dem Schreibtisch abzulegen. Man kann dies mit der oben angegebenen Web-Seite ausprobieren, denn deren Script funktioniert auch, wenn diese Option in Safari ausgeschaltet ist.
Die einzig momentan funktionierende Lösung besteht darin, für das Protokoll "help" ein anderes Programm anzugeben. Dann wird anstatt des Help Viewers ein beliebiges anderes Programm gestartet, das dann aber das übergebene Script nicht ausführen kann. Um diese Einstellung zu ändern, benötigt man ein Hilfsprogramm. Eine Möglichkeit ist die Systemeinstellung " More Internet ", die andere das Programm " Misfox ". Man weist dort dem Protokoll "help" ein anderes Programm zu wie beispielsweise das Schachprogramm Chess zu. Landet dann ein Help-Viewer-Script auf dem Rechner, startet nur das Schachprogramm, mehr passiert nicht.

Während die Sicherheitsfirma Secunia ihre Warnung vor der Sicherheitslücke von "hoch kritisch" auf "extrem kritisch" verschärft hat, gibt sich Apple über den aufgedeckten Mangel im System gelassen. Man nehme den Hinweis ernst und werde intensiv den Sachverhalt untersuchen, hieß es gestern Abend aus Cupertino. Kein Betriebssystem könne jedoch absolut sicher vor Gefahren sein, Apple habe jedoch erprobte Mechanismen um schnell auf Sicherheitslücken reagieren und sie stopfen zu können. Normalerweise schrieben Hacker jedoch Malware für weiter verbreitete Sicherheitslücken, für den Mac würde sich die Arbeit jedoch kaum lohnen, meint der CTO von Counterpane Internet Security, Bruce Schneider. Die Situation könne sich jedoch ändern.

0 Kommentare zu diesem Artikel
922294