1459577

Security Update schließt Lücke nicht komplett

02.03.2006 | 14:34 Uhr |

Security Update 2006-001 gibt vor, alle Lücken zu schließen. Doch das Grundproblem ist zumindest beim zuletzt entdeckten Trojaner, der Unix-Befehle in Bildern versteckt, nicht gelöst - für eine Entwarnung ist es deshalb zu früh.

Macworld Expo: Mac-OS X
Vergrößern Macworld Expo: Mac-OS X

Das Security Update 2006-001 gibt es für Intel- und Power-PC-Macs und für Mac-OS X 10.3.9 und 10.4.5. Es schafft eine ganze Reihe von Schwachstellen aus der Welt; speziell die Gefahren durch den Trojaner Oompa-Loompa/Leap.A und den Wurm Inqtana.A sind beseitigt (bei letzterem eigentlich schon seit Security-Update 2005-006 beziehungsweise seit Mac-OS X 10.4.1).

Wenn man aber speziell die Lücke in Safari und Mail betrachtet, die Michael Lehn vor einigen Wochen beschrieben hat, dann ist das Security Update nur bedingt hilfreich. Denn das Update schließt die Lücke nur teilweise, der Grundmechanismus für den Trojaner existiert weiter. Denn der Trojaner ohne Namen (aber mit einer eindeutigen CERT-Nummer, vergleiche http://www.us-cert.gov/cas/alerts/SA06-053A.html ) funktioniert auf unserem Test-Mac ärgerlicherweise auch nach dem Security Update 2006-001 - und zwar in Mac-OS X 10.3.9 und in Mac-OS X 10.4.5.

Der Grund dafür ist schnell erklärt: Laut Apple und laut CERT ist der Trojaner vor allem deshalb gefährlich, weil das schädliche Programm im Inneren der Datei automatisch aktiviert wird, wenn man die Datei über Safari oder Mail aus dem Internet lädt. Deshalb raten die Experten diesen Automatik-Modus in Safari zu deaktivieren (Einstellungen > Allgemein > Sichere Dateien nach dem Laden öffnen). Und Apple selbst hat mit dem Security Update 2006-001 genau diese Automatik verbessert - lädt man jetzt eine präparierte Datei, warnt der Browser (und das Email-Programm Mail) vor dem Schädling.

Doch es gibt keine Warnung, wenn man die Virus-Datei mit einem anderen Browser oder einem anderen Email-Programm auf den Mac lädt und anschließend mit einem Doppelklick öffnet. Soll heißen: Wer aus Sicherheitsgründen die Automatik abgeschaltet oder eine andere Software verwendet hat, ist auch nach dem Update in Gefahr: Der Hacker muss es lediglich schaffen, dass man diese vermeintliche Bilddatei aus dem Internet lädt und mit einem Doppelklick öffnet. Denn Apple hat in dem Update das Dienstprogramm Terminal und die zugrundeliegende Befehlszeile ("unix shell", Kurzbezeichnung "bash") unangetastet gelassen. Die jetzige Lösung ist deshalb kein perfekter Schutz vor angeblichen Bilddateien, die in Wirklichkeit Unix-Befehle enthalten.

Fazit

Apple muss noch einmal nachbessern. Sonst gibt es bald in irgendeinem Forum einen Trojaner, der sensationellen Inhalt verspricht - wenn man ihn aber als Mac-Benutzer manuell öffnet, stößt man nicht auf das erwartete, sondern auf eine Datei, deren Inhalt vom Dienstprogramm Terminal ausgeführt wird. Mit allen gefährlichen Konsequenzen, die das haben kann.

0 Kommentare zu diesem Artikel
1459577