Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Neuer Weg der Code-Einschleusung in Mac OS X

Wie Heise Online berichtet, hat der italienische Sicherheitsexperte Vincenzo Iozzo einen neuen Weg der Code-Einschleusung in Mac OS X gefunden. Mit der Methode, die er kommenden Monat auf der Black Hat Sicherheitskonferenz vorstellen will, ist es möglich, laufende Prozesse in Mac OS X heimlich mit fremden Programmanweisungen zu versehen. Dabei wird eine Schwachstelle des dynamischen Linkers von Mac OS X ausgenutzt, der anders als bei Windows Vista geladene Bibliotheken immer an den relativ gleichen Speicherstellen ablegt. Da diese Technik lediglich das heimliche Einschleusen von Programmanweisungen vereinfacht, ist für einen Angriff zusätzlich noch eine weitere Schwachstelle erforderlich, entweder in Form eines Speicherüberlaufs oder beispielsweise als Trojaner. Einher mit der Bekanntgabe weiterer Details will Iozzo im Februar dann auch ein Proof of Concept für Mac OS X 10.5 veröffentlichen. Ob Apple über die Schwachstelle informiert wurde, ist nicht bekannt.

Weiterführende Links:

Kommentare

bestbernie26.01.09 10:58
hier gibt es schon Erklärungen dafür:
http://www.macmark.de/osx_userland-execve.php
0
sram
sram26.01.09 11:09
Mit der Zeit die "Hacker" und "Sicherheitsexperten" brauchen ein Sicherheitsloch zu finden könnt ich 17 Jahre Urlaub machen. Da wärs mir schade um die vergeudete Zeit.
Auf Weisung eines Administrators musste diese Signatur entfernt werden
0
Lefteous
Lefteous26.01.09 11:26
Hat Apple bei der Einführung von OS X Leopard nicht ganz groß eine address randomization angepriesen? Das scheint ja nicht so toll zu funktionieren.
0
gentux
gentux26.01.09 11:36
sram
Sei nicht so eingebildet. Auch OS X hat Schwachstellen, diese sind weitaus seltener als bei Windows aber gehören genauso gefixt. Ausserdem ist es eine richtige Challenge bei OS X rumzuhacken. Nix mit Zeitverschwendung!
0
Supremeja
Supremeja26.01.09 11:53
Nichts ist sicher, nur in diesem Fall ist die Meldung tragischer als was sie wirklich ist.
Siehe obenstehenden Link von bestmernie.
Da wird mehr zu diesem Fall erläutert.

0
Johloemoe
Johloemoe26.01.09 12:02
lefteous
Toll! Geballtes Unwissen, aber erstmal meckern, ja? So mag ich das... *sick*
0
Lefteous
Lefteous26.01.09 12:13
Du kannst mich gerne erleuchten, statt mich zu beleidigen. Da bin ich mal gespannt, was das Fehlen eines Randomization Dynamic Linkers für Prozesse im User Space sonst für ein problem darstellen soll.
0
sram
sram26.01.09 12:37
gentux

Mir gings generell um Sicherheitslücken suchen. Egal bei welchem Softwarehersteller.
Auf Weisung eines Administrators musste diese Signatur entfernt werden
0
ex_apple_user26.01.09 12:49
sram,

es ist sehr wichtig, Sicherheitslücken zu finden.
Es gibt ja nicht nur positive Hacker, sondern auch jene, die das aus krimineller Absicht machen.

Es ist ja auch wichtig in AKWs nach Sicherheitslücken zu suchen, um den GAU zuvorzukommen.
0
louiss26.01.09 12:59
na das ist genau was ich sagte.
kann man das System noch verbessert? mit programmen? oder einstellungen?
0
Johloemoe
Johloemoe26.01.09 13:17
lefteous
Lies den von bestbernie verlinkten Artikel. Dann weisst du dass das NICHTS mit irgendwelchen Linkern zu tun hat...
0
Kovu
Kovu26.01.09 13:46
Ist auch merkwürdig wie sowas an die große Glocke gehangen wird und dann erst Monate später (bzw. hier soll es ja dann irgendwann im Februar so weit sein) ein "Proof-Of-Concept" vorgestellt wird der nichts anderes beweist als das es in einer utopischen Situation ausgenützt werden könnte.
Wenn der Crash-Test für Autos so ablaufen würde, müssten bald alle Autos mit Matratzen auf dem Dach fahren weil ja ein Fußgänger von oben drauf fallen könnte, wenn er denn von der Brücke springt.
0
Kovu
Kovu26.01.09 13:48
Und bitte nicht falsch verstehen... auch ich bin für Fehlersuchen und weitere Optimierung der Sicherheit, etc. Nur dann immer so ein Fass aufzumachen ist mir unbegreiflich.
0
sierkb26.01.09 14:16
Kovu:

Mancher Hersteller reagiert halt nur dann, wenn man erst ein Fass aufmacht bzw. das Ganze an die große Glocke hängt. Unterbleibt sowas, dann gibt es durchaus auch Hersteller, die lassen sich mit dem Fixen von bestimmten Lücken so manches Mal eine gehörige Portion an Zeit. Und dazu gehört leider eben auch Apple, denn die Schnellsten im Fixen sind die leider nicht -- selbst wenn es sich um Lücken dreht, die in Open-Source-Komponenten vorhanden ist und von allen anderen Herstellern und Distributoren im Open-Source-Sektor schon längst geschlossen worden ist. Apple lässt sich da aus unerfindlichen Gründen fast grundsätzlich mehr Zeit als andere bei gleichem Fehler.

Deshalb kann manchmal ein wenig Dampf unterm Hintern und öffentliche Aufmerksamkeit da sicher nicht schaden, um in die Gänge zu kommen bzw. um die Dinge zu beschleunigen... Das hier scheint mir wieder so ein Fall zu sein.
0
o.wunder
o.wunder26.01.09 15:55
Vielleicht endlich mal ein Grund um den Mac neu zu starten damit der Speicher wieder neu aufgebaut wird
0
Lefteous
Lefteous26.01.09 17:14
@Johloemoe
nun ja ich habe aus dem Interview mit dem Italiener (verlinkt bei MTN) zitiert, der das Problem gefunden hat. Er muss es wohl wissen oder?
0
fatdancer26.01.09 22:30
o.wunder: Stimmt, ein Grund mehr für Hacker, Tojaner für OS X zu schreiben. Die laufen einfach Tag und Nacht, 24/7.
0
Johloemoe
Johloemoe26.01.09 23:34
lefteous
ok, ich gebe zu, den artiekl hattte ich vorher noch nicht gelesen, auch wenn der Begriff da etwas aus dem Zusammenhang gegriffen steht... Zumindest wird nicht näher erläutert was das eine mit dem anderen zu tun hat, egal.

Also, alles zurück auf Anfang

Dennoch, soweit ich das gelesen habe, ist die eigentliche Kunst dabei, ein Stück Programm von irgendeiner anderen Quelle als der HD zu laden und dann dem Kernel zum ausführen unterzujubeln.. Das hat meiner Meinung nach mit Randomization nix zu tun, aber noch kann man sich den Kram ja auch noch nicht angucken..
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.