« Apple Security Update 2004-05-24 behebt halbe Sicherheitslücke | Start | MacOrama für den 22. Mai 2004 [Update] »
22.05.2004
Einige Anmerkungen zur weiterhin bestehenden Sicherheitslücke und Paranoid Android [Update]
Inzwischen hat man bei Unsanity bemerkt, dass allzu große Geheimniskrämerei nicht gerade zu weniger Skepsis führt und sinnvollerweise ein Whitepaper zu Paranoid Android veröffentlicht, welches folgenden tieferen Einblick ermöglicht: "The attacker can register its own URL scheme handler, which will be automatically registered with LaunchServices when the malware is mounted in the Infection Phase above. The attacker then simply directs the web browser to any URL using that scheme, and the malware will be executed by Launch Services. The ability to register URL schemes with Launch Services is invaluable (two of my own products use it!), but it doesn’t need to be done until the handler executable has been launched. If Apple changed this behavior, that alone would close this vector."
Das macht alles etwas kniffliger und gestaltet eine reine Absicherung über den bekannten Workaround und Apple's Security Update als nicht ausreichend.
Ungünstig ist jedoch der von Unsanity gewählte 'benign sample exploit', denn dieser greift genau auf das disk: Protokoll zurück und hat man dieses mit RCDefaultApp bereits lahmgelegt, funktioniert es natürlich nicht. Wer die eigene Verwundbarkeit (auf eigene Gefahr) testen will, sei deshalb auf die Seite http://ozwix.dk/OpnAppFixer/testit.html verwiesen, die Wege neben disk: aufzeigt, die deprimierenderweise ebenfalls ausbeutbar sind (in diesem fall ftp:, mehr dazu in der Diskussion bei macnn)
So würde ich -ganz entgegen meiner anfänglichen Ablehnung- nun Paranoid Android für jeden empfehlen, der nicht bereits Little Snitch auf seinem Rechner installiert hat, momentan ist eines der beiden Programme neben einem obligatorischen aktuellen Backup, die beste Sicherheitsmaßnahme.
Update:
Secunia hat ein neues Advisory veröffentlicht.
Zusammenfassend ist momentan folgendes zu empfehlen:
So oder so 'open safe files' in den Safari Prefs enthaken
Wer sich nicht weiter Gedanken machen will und den Application Enhancer nicht scheut, kann sich mit Paranoid Android schützen und zusätzlich Little Snitch einsetzen.
telnet deaktivieren
Alternativ zu Paranoid Android sind die beschriebenen Deaktivierungen mit RCDefaultApp einzusetzen und zusätzlich sollten auf gleichem Wege afp und ftp 'disabled' werden.
--> Die aktuellsten Hinweise zur Abdichtung der Sicherheitslücke finden sich im unendlich aktualisierten Ausgangsposting.
Posted by Leo at 12:56 | Permalink
TrackBack
TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200d83456b54969e2
Listed below are links to weblogs that reference Einige Anmerkungen zur weiterhin bestehenden Sicherheitslücke und Paranoid Android [Update]:
» Software-Aktualisierung anschmeißen from Der Schockwellenreiter
Denn es gibt ein Sicherheitsupdate f ü r Mac OS X. Und Kritik an zu langsamer Reaktion. Au ß erdem
glauben einige und das wohl zu recht , da ß die L ü cke nicht vollst ä ndig geschlossen sei. Und
empfehlen als Sofortma ß nahme Paranoid Android wir auwe... [Mehr erfahren]
verlinkt am 24.05.2004 08:36:21
