[gullinews]

Das Microsoft Security Center hat eine Warnung herausgegeben bezüglich der Nutzung des Safari-Browsers aus dem Hause Apple. Aufgrund einer Sicherheitslücke soll es Angreifern möglich sein, ausführbare Dateien auf den Computern einzuschleusen. Momentan arbeiten Microsoft und Apple Hand in Hand an der Fehlerbeseitigung. Apple selbst zeigt wenig Engagement, weder bei der Fehlerfindung, noch der Behebung.

Der Sicherheitsforscher Nitesh Dhanjani hat herausgefunden, dass der Safari beim Download von Dateien erst gar nicht darauf wartet, bis der Benutzer grünes Licht zum Runterladen der Dateien gibt - er macht es einfach. Beim Besuch einer speziell präparierten Webseite wäre es also möglich, eine Vielzahl von ausführbaren Dateien auf die Computer zu laden.


weiterlesen

[Black-Lion]

Zitat:

Doch auch Nutzer des Mac OS X sind laut Dhanjani nicht vor Carpet Bombing gefeit.

Und welchen Schaden soll dieses Carpet Bombing auf einem Mac anrichten?

[cofee]

Zitat:

Zitat von Black-Lion 

Und welchen Schaden soll dieses Carpet Bombing auf einem Mac anrichten?

genau das frage ich mich auch

carpet bombing stellt wohl eher eine gefahr für windows nutzer dar als für mac os

[Kademlia]

Zitat:

Zitat von cofee 

genau das frage ich mich auch

carpet bombing stellt wohl eher eine gefahr für windows nutzer dar als für mac os

Aber ihr habt den Text schon gelesen ja?

Der schaden auf einem MacOS system ist genau der gleiche wie auf einem Windows basiertem System. Das ganze nennt sich Social enigneering.

Edit: Der Text sagt zwar das die Lücke des Safari auf Windows basieren systemen besteht. Der Nachsatz allerdings sagt das gegenteil aus. Sollte die News besser geschrieben sein.

[Black-Lion]

Auch mit SE würde so eine "böse" Datei auf einem Mac relativ wenig Schaden anrichten im Vergleich zu Windows. Ich habe den ganzen Text gelesen, ja UND ich bin auch im Besitz eines Macs.

[Kademlia]

Zitat:

Zitat von Black-Lion 

Auch mit SE würde so eine "böse" Datei auf einem Mac relativ wenig Schaden anrichten im Vergleich zu Windows. Ich habe den ganzen Text gelesen, ja UND ich bin auch im Besitz eines Macs.

Falsch. Das ist leider was viele Mac User annehmen. Die niedrigen Infektionsfälle von Mac Systemen hängen nicht mit der Sicherheit des Systems sondern mit der verbreitung dessen zusammen.

Im falle von Social enigneering ist es sowieso völlig irrelevant wie gut gesichert ein system ist - und anderes kann bei dieser Sicherheitslücke nicht ausgenutzt werden.

Und nein ich betreibe kein apple bashing, zumal ich gerade heute einer Kundin einen Mac eingerichtet habe, welcher von mir für ihre Anwendung empfohlen wurde. Es ist dennoch ein sehr weit verbreiteter irrglaube, dass Macs vor schadhaftem code sicher(er) wären (administratorrechte o.Ä. sind NICHT notwendig um ein system überaus effektiv ausnutzen zu können! Ich beschäftige mich mit dieser thematik schon äuserst lange).

[kami1]

die sollen lieber ihre eigenen produkte sicher machen...

[dieterdödel]

@kami ... dein beitrag ist total sinnlos
Nach wie vor haben die meisten Nutzer ein Windows System => dieses System ist Primärziel für Hacker und was weiss ich wie die sich alle schimpfen => da sie Primärziel sind werden ihre Produkte am meisten "durchforstet" => man findet mehr Sicherheitslücken

Wenn jmd Lust kann er prüfen ob das äquivalente aussagen sind auf jeden fall von meiner seite q.e.d

P.S.: ich will gar nicht wissen wie viele Sicherheitslücken mein MB hat....

[Kademlia]

Edit: quote falsch interpretiert

[shirker]

wer nutzt überhaupt als windows user den mac browser?
und warum gibt es den überhaupt für windows, den IE gibts doch auch nicht für mac oder?

[maX7C]

Zitat:

Zitat von shirker 

wer nutzt überhaupt als windows user den mac browser?
und warum gibt es den überhaupt für windows, den IE gibts doch auch nicht für mac oder?

Naja ein Grund dafür könnte sein das Apple so freundilch war alle iTunes User automatisch (über die update-funktion von iTunes) mit Safari zu beglücken.

Den IE gabs zumindest mal für den Mac (kam sogar automatisch mit dem OS).

[maX7C]

Zitat:

Zitat von cofee 

genau das frage ich mich auch

carpet bombing stellt wohl eher eine gefahr für windows nutzer dar als für mac os

Und wie kommt ihr darauf?
Carpet boming stelle für mac os die selbe gefahr da wie für windows.
Nur ist hier die Wahrscheinlichkeit kleiner da es nicht weit verbreitet ist.

Naja, die Sicherheit war imho bei Apple noch nie ein großes Thema, da verlässt man sich einfach darauf als Ziel eher uninteresant zu sein.

[ungesund]

ach, apple hat den safari nur auf den markt geschmissen damit die ganzen iphone-webapp programierer ihre programme testen können... auf dem mac ists ein guter browser, habs mir mal für xp geladen und sofort wieder deinstalliert. Solch ein ressourcenhunger und bugverseuchung hab ich lange nicht erlebt... klar das da microsoft warnt.

[cofee]

Zitat:

Zitat von maX7C 

Carpet boming stelle für mac os die selbe gefahr da wie für windows.
Nur ist hier die Wahrscheinlichkeit kleiner da es nicht weit verbreitet ist.

und genau darin liegt meine begründung.
ich behaupte hier nicht, dass ein mac immun gegen jegliche angriffe wäre.

nur sind windows computer weit bekannt, dafür anfälliger.
ich verweise einfach auf "dieterdödel"

[Kademlia]

Zitat:

Zitat von cofee 

und genau darin liegt meine begründung.
ich behaupte hier nicht, dass ein mac immun gegen jegliche angriffe wäre.

nur sind windows computer weit bekannt, dafür anfälliger.
ich verweise einfach auf "dieterdödel"

Diese Ansichtsweise beruht aber komplett auf "Hoffnung" und beinhaltet keinerleich sachliche Argumente. Defakto ist der Schaden also bei einem Mac weiterhin genauso hoch.

Bei einem Verweis auf die Argumentation von dieterdödel stellt das Nutzen eines Macs sogar erhöhtes Risiko dar, da bei Windows zumindest nach der Theorie weniger Fehler vorhanden sein müssten. Da dies aber nur beweisbar ist indem man alle Fehler aufdeckt und einen nachweis auf fehlerfreiheit erbringt würde dies nicht als Argument gelten.

Is mir eh wurst. war mir allerdings auch vom anfang an klar dass mac genau so viele schwächen haben wird. dann halt och ne firewall oda ne jutes antivir und schon hatt sich der salat.

[user1220]

Ich dachte immer, weil MacOS auch auf BSD, also Unix basiert, man bräuchte wie unter Linux erst ein chmod +x als root um Executables tatsächlich ausführen zu können. Sogar M$ hat bei Vista etwas ähnliches eingebaut (UAC, wobei die Benutzerfreundlichkeit dabei bekanntlich auf der Strecke geblieben ist ...).

Wenn das im MacOS nicht ist, ist auch jenes in dieser Hinsicht nicht sicherer als Windows.

[lordimac]

Mac User sind einfach reifer und überlegen 2 mal bevor sie eine Datei laden / sie öffnen. Selbst wenn diese Datei automatisch geladen wird, Leopard meldet jeden ersten Programmaufruf ob das auch wirklich so gewollt ist (Bei Progammen ohne weitere Zertifizierung).

[lord_blight]

Zitat:

Zitat von user1220 

.. wie unter Linux erst ein chmod +x als root um Executables ..

Naja ist man sich allerdings im unklaren über die schädliche Datei ist sowas doch schnell erledigt xD

[Black-Lion]

Zitat:

Zitat von Kademlia 

Falsch. Das ist leider was viele Mac User annehmen. Die niedrigen Infektionsfälle von Mac Systemen hängen nicht mit der Sicherheit des Systems sondern mit der verbreitung dessen zusammen.

Im falle von Social enigneering ist es sowieso völlig irrelevant wie gut gesichert ein system ist - und anderes kann bei dieser Sicherheitslücke nicht ausgenutzt werden.

Und nein ich betreibe kein apple bashing, zumal ich gerade heute einer Kundin einen Mac eingerichtet habe, welcher von mir für ihre Anwendung empfohlen wurde. Es ist dennoch ein sehr weit verbreiteter irrglaube, dass Macs vor schadhaftem code sicher(er) wären (administratorrechte o.Ä. sind NICHT notwendig um ein system überaus effektiv ausnutzen zu können! Ich beschäftige mich mit dieser thematik schon äuserst lange).

Dann hast du dich sicherlich auch schon mit der Architektur von Windows und Unix (auf dem Mac basiert) befasst? Naja, egal.

[user1220]

Zitat:

Zitat von lord_blight 

Naja ist man sich allerdings im unklaren über die schädliche Datei ist sowas doch schnell erledigt xD

Also ich würde keine Datei ausführen die ich nicht selbst heruntergeladen hätte, was der Safari offenbar auf Windows-Rechnern getan haben soll. Nicht nur das Ausführen sondern auch das Herunterladen.

[Kademlia]

Zitat:

Zitat von Black-Lion 

Dann hast du dich sicherlich auch schon mit der Architektur von Windows und Unix (auf dem Mac basiert) befasst? Naja, egal.

Bitte konstruktive Kritik und keine Inhaltslosen gegenfragen.

Um mal "Social engineering" in diesem fall aufzuschlüsseln
Social engineering ^= Der User klickt die datei an und bestätigt den warndialog einer ausführbaren datei.

Verursacht z.b. durch geschickt benannte downloads OSX-Update-10.3.6.dmg oder AdobeReader7.4.6-hotfix.dmg

Falls der User auf die präperierte Seite mit einem Referrer kommt kann dieser auch genutzt werden um den Dowloadnamen entsprechend zu Manipulieren. Ist der user z.b. über "Pokemon Minigame download" über google auf die seite gestoßen werden die *.dmg dementsprechend angepasst (Pokemon-Minigame.dmg).

Es ist in diesen fällen völlig egal welches Betriebssystem installiert ist.

[boingball]

Was ist das denn für eine blöde Argumentation? "Wenn man die Datei anklickt, um sie runter zu laden und dann auch noch bestätigt, sie auszuführen, ja dann kann es echt dicke kommen..." Selten so ein Schwachfug gelesen...

Zitat:

Zitat von shirker 

wer nutzt überhaupt als windows user den mac browser?
und warum gibt es den überhaupt für windows, den IE gibts doch auch nicht für mac oder?

IE gab/gibt es bis Version 5 für Mac.

[Kademlia]

Zitat:

Zitat von boingball 

Was ist das denn für eine blöde Argumentation? "Wenn man die Datei anklickt, um sie runter zu laden und dann auch noch bestätigt, sie auszuführen, ja dann kann es echt dicke kommen..." Selten so ein Schwachfug gelesen...

Es wurde danach gefragt, dies war die Antwort. Ich weiß ja nicht ob du auch andere Personen kennst die Computer nutzen, ich kenne viele - zudem muss ich sehr oft Computer Neu Einrichten/von Viren befreien aus genau dem genanntent Grund.

Social Engineering ist der größte Infektionsfaktor von Viren den es jemals gab - und ich bin mir sehr sicher - jemals geben wird. Nächstes mal könntest auch du Argumente bringen und nicht nur Pseudo-Totschlägerargumente (Schwachfug).

[tOmAtEl]

Zitat:

Zitat von lordimac 

Mac User sind einfach reifer und überlegen 2 mal bevor sie eine Datei laden / sie öffnen. Selbst wenn diese Datei automatisch geladen wird, Leopard meldet jeden ersten Programmaufruf ob das auch wirklich so gewollt ist (Bei Progammen ohne weitere Zertifizierung).

Also das ist nun wirklich eins der dämlichsten Dinge, die je ein Mac-Nutzer über andere Mac-Nutzer gesagt hat.

Aber bei dem Nickname und dem Benutzertitel lässt sich leicht darauf schliessen, das jede Form von Sachlichkeit abhanden gekommen ist