Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsproblem in MacOS X

In der aktuellen Fassung von MacOS X schlummert ein Sicherheitsloch, welches die Bildschirmschoner betrifft. Unter den Systemeinstellungen kann man eine Passwortabfrage einschalten, welche das Beenden des Bildschirmschoners blockiert, sollte ein falsches Passwort eingegeben werden.
Diese Abfrage lässt sich aber einfach umgehen, indem man ein Passwort mit über 1280 Zeichen eingibt, dann stürzt der Bildschirmschoner einfach ab und man hat Zugriff auf den Rechner.
Wann Apple das Problem beheben wird, ist unklar. Wahrscheinlich wird dies im nächsten Security Update behoben.

Kommentare

Mathis
Mathis05.07.03 22:21
Also ich habe es ausprobiert!

Bei mir geht das nicht.
0
Bernhard Nahrgang05.07.03 22:30
das problem besteht offenbar auch beim login-panel!!!

0
g4-upgrade05.07.03 22:31
na tolle wurst ...

1. Wer um alles in der Welt testet eigentlich so einen Schwachfug bei der Bildschirmschoner - Paßwortabfrage ?? 1280 Zeichen !?!

2. Wer nutzt eigentlich den Bildschirmschoner zur Absicherung seines Accounts ? Also wenn das so senibel ist dann log ich mich aus bevor ich die Kiste verlasse !?
0
Thyrfing05.07.03 22:34
Vom Login Panel steht in keiner einzigen Meldung etwas. Nur die Heise Trolle haben endlich wieder etwas gegen Apple gefunden, damit können sie den G5 für kurze Zeit vergessen...;-)

So heavy ist der Bug nun auch nicht, denn so lange keiner vor dem Bildschirm sitzt, kann auch nix passieren.

Alle mal tief durchatmen, oder hat schon jemand Daten in Millionen Höhe (Zeilen, Zeichen, Pixel) verloren?

Thyr
0
ChrisK
ChrisK05.07.03 22:50
Glück gehabt! Bei mir gehts auchnicht!

---------------------
Zum Ausprobieren:

Zeichen / Zeile: 31

1280 Zeichen : 31 Zeichen / Zeile = 42 Zeilen

Eingabezeit pro Zeile: ca 3sek

42 Zeilen x 3sek = 126sek = 2min 6sek
--------------------
ALSO:
man muss 126 Sekunden permanent eine Taste drücken um 1280 Zeichen zu ereichen

!!!ACHJA!!!:
Die Zahlen können je nach Tastatureinstellungen variiren
--------------------
Wer anderen eine Bratwurst brät, hat ein Bratwurstbratgerät.
0
ChrisK
ChrisK05.07.03 22:55
Achja
Bei mir schmiert das Login-Panel schon ab wenn ich das Passwort nur falsch eintippe. Dann lande ich im Unix und muss mich da einloggen. wenn ich dann logout eintippe komme ich wieder zum Panel.
Komisch, nicht?
Wer anderen eine Bratwurst brät, hat ein Bratwurstbratgerät.
0
Andreas05.07.03 22:58
Bei mir schmiert mit dieser Methode weder das Login Panel noch der Bildschirmschoner ab. Ich komme weder beim Login Panel noch beim Bildschirmschoner an der Passwordabfrage vorbei.

Könnte es sein, dass ein derartiger Fehler von sonstwas ausgelöst wird und es sich nicht um einen Bug des OS handelt?
0
Herschel05.07.03 23:06
hab jetzt mal ein gewicht auf eine taste gelegt und bin kurz was essen gegangen . schmiert nicht ab
0
Mathis
Mathis05.07.03 23:06
Kann es sein das die anzahl der Zeichen vielleicht auch vom Rechner abhängt.

Je besser desto mehr Zeichen?
0
Nobody is Perfect05.07.03 23:14
Habe lange gebraucht um es nachzuvollziehen. Folgende Methode scheint
immer zu funktionieren.

Im Passwortdialog eine Zeile Voll schreiben. ca 34 Zeichen. Mit
Cursortasten zum Anfang gehen. Dort CTRL A drücken, dann CTRL K
drücken. Damit ist Zeichenfolge im Puffer. Dann CTRL Y einige
Sekunden festhalten um Puffer zu füllen. 30 Sekunden sollten reichen.
Dann Enter drücken. Der eingestellte Bildschirmschoner läuft für 2
Sekunden weiter und dann beendet er sich. Ich habe es mit mehreren
ausprobiert. Leider nachvollziehbar und sehr peinlich. Allerdings
frage ich mich wirklich wie man so etwas rausfindet ????????????????
0
Fenvarien
Fenvarien05.07.03 23:19
So, ich werde jetzt mal rausfinden, ob Mac OS abstürzt, wenn ich 3 Stunden lang die Maustaste gedrückt halte, dabei einen Kopfstand mache und laut singe. Melde mich später wieder...
Up the Villa!
0
Thyrfing05.07.03 23:22
Das LoginPanel ist nicht von diesem Problem betroffen.
Wenn der Text hier:http://discusssearch.info.apple.com/WebX?14@65.Uqe9ahgwacv.0@.59974dc1/1
richtig gelesen wird, steht dort:
Nachdem der gute Mann 5 Minuten die "+" Taste gedrückt hatte und dann die Returntaste, wurde das Login abgelehnt.
Als er dann ein korrektes Passwort eingegeben hat, wurde er in die Konsole geschmissen.

Nix mit Hintertür zum OS per LoginPanel!

Korrekterweise schreibt er "similar", also ähnlich dem Problem des Bildschirmschoners!

Thyr
0
Andreas05.07.03 23:24
>>Im Passwortdialog eine Zeile Voll schreiben. ca 34 Zeichen. Mit
>>Cursortasten zum Anfang gehen. Dort CTRL A drücken, dann CTRL K
>>drücken. Damit ist Zeichenfolge im Puffer. Dann CTRL Y einige
>>Sekunden festhalten um Puffer zu füllen. 30 Sekunden sollten reichen.
>>Dann Enter drücken. Der eingestellte Bildschirmschoner läuft für 2
>>Sekunden weiter und dann beendet er sich.



Wenn ich das mache, verschwindet der Passworddialog und die Animation bricht ab. Der Bildschirm ist schwarz. Bei Mausbewegung erscheint wieder der Passworddialog.

Wenn ich dann die gesamte Prozedur wiederhole, verschwindet der schwarze Bildschirm und der Mac ist frei.

Beim Login Dialog geht's nicht, der verwehrt jedes Weiterkommen.
0
Andreas05.07.03 23:28
Nachtrag: Wenn ich die Zeichen schreibe und immer 34 pro Zeile abzähle, geht nichts. Es geht nur mit den Tastenkombinationen mit Ctrl.

:-¿?
0
Mathis
Mathis05.07.03 23:37
Scheisse das mit den Control Tasten geht ja wirklich!


0
Andreas05.07.03 23:41
@ Mathis

Du hast das gleiche Resultat wie ich...

Wenn die über 1280 Zeichen von der Tastatur kommen nix zu machen.

Wenn sie mit Ctrl-y eingesetzt sind Bug. Musst du das auch zweimal in Folge ausführen, um den Fehler zu erhalten?
0
Mathis
Mathis05.07.03 23:49
@Andreas Nee, nur einmal. Das geht sofort. Was passiert eigentlich wenn man das beim Anfags Einlogfenster macht?
0
Andreas05.07.03 23:51
Wie gesagt, das Einlogfenster am Anfang "schüttelt bei mir den Kopf", egal mit welcher Methode ich > 1280 Zeichen eingebe. Ich kann es nicht überwinden.

Beim Bildschirmschoner geht es bei mir definitiv nur mit 2 mal die ganze Prozedur. Hab's jetzt schon 5 mal probiert.
0
tony montana06.07.03 00:01
cooler nick "herschel" war das nicht der erste name fuer planet "x" oder "pluto" megageil!!!! wenns dein original name is auch cool ------ angeblich klappts bei einigen leutz nicht mit den 1k + oder gar 2k + zeichen........ hoax?! das mit "herschel" find ich cooler - naja so hat jeder seine freuden lol
0
Nobody is Perfect06.07.03 00:06
Falls man den Trick im Login verwendet kommt man in die Konsole des Rechners. Dort braucht man allerdings auch Passwort, so das man nicht in den Rechner kommt. Sehr peinlich das Ganze .-(((((((((((((
0
Andreas06.07.03 00:33
Habe das Login Fenster noch 'mal extensiv getestet:

Die Methode mit Ctrl-a -k -y führt doch zum Absturz beim Login. Der Crash betrifft SecurityServer. Das wirft mich auf Darwin-Ebene, CLI mit weißen Zeichen auf schwarzem Grund. Darwin bleibt über CLI ansprechbar, OS X ist aber nur nach einem forced reboot wieder zu starten. Jedenfalls bleibt das Login Panel auch mit SecurityServer-Absturz unüberwindbar.

Beim Bildschirmschoner lässt die Methode mit Ctrl-a -k -y ScreenSaverEngine abstürzen.

Weder SecurityServer noch ScreenSaverEngine crashen hier, wenn die >1280 Zeichen von der Tastatur kommen.
0
Andreas06.07.03 00:34
Habe das Login Fenster noch 'mal extensiv getestet:

Die Methode mit Ctrl-a -k -y führt doch zum Absturz beim Login. Der Crash betrifft SecurityServer. Das wirft mich auf Darwin-Ebene, CLI mit weißen Zeichen auf schwarzem Grund. Darwin bleibt über CLI ansprechbar, OS X ist aber nur nach einem forced reboot wieder zu starten. Jedenfalls bleibt das Login Panel auch mit SecurityServer-Absturz unüberwindbar.

Beim Bildschirmschoner lässt die Methode mit Ctrl-a -k -y ScreenSaverEngine abstürzen.

Weder SecurityServer noch ScreenSaverEngine crashen hier, wenn die >1280 Zeichen von der Tastatur kommen.
0
Andreas06.07.03 09:41
Fazit:

Jetzt gibt es seit 10 1/2 Monaten Jaguar, und da kommt doch tatsächlich jemand auf die Idee, dass man mit Hilfe der guten alten emacs Shortcuts ScreenSaverEngin und SecurityServer killen kann. Sooo bedeutend kann der Fehler nicht sein.
0
Bodo
Bodo06.07.03 10:09
Eins wird hier offensichtlich völlig vergessen: Die TÄGLICHEN Sicherheitsprobleme auf Windows-Rechnern. Der Kracher war mal die Möglichkeit bei Win9x die Passwordabfrage mit ESC zu umgehen!
0
MacBelwinds
MacBelwinds06.07.03 12:17
Wenn ich das richtig verstehe, benötigt man physikalischen Zugang zum Mac. Wenn bei mir ein Unbefugter am Rechner sitzen sollte, habe ich ganz andere Probleme als meine Daten. Dann habe ich vermutlich einem Kriminellen im Haus!
0
Fenvarien
Fenvarien06.07.03 14:43
Sobald man physikalischen Zugang zu einem Computer hat, ist kein System noch sicher
Up the Villa!
0
Thyrfing06.07.03 15:27
Sobald ich physikalischen Zugang zu einem Computer habe, ist er kaputt, weil ich von Physik keine Ahnung habe.

Wenn ich aber physisch Zugang zum PC habe, ja dann.....

Der Spass hört auf, wenn man mir psychisch Zugang zu einer DOSe gibt...



Thyr
0
Ties-Malte
Ties-Malte06.07.03 17:32
Naja, bedeutend oder nicht... Ich kann mir schon Situationen vorstellen, wo Screensaver mit Passwortschutz sinnvoll erscheint (denn immerhin: mit logout ist man zwar draußen, hat aber keinen screensaver, etc mehr, was für Flachbildschirme (Einbrenngefahr) nicht so klasse ist, oder stimmt das so nicht mehr?). Und ich würde es dann auch nicht kleinreden wollen, denn praktisch finde ich´s schon.

Trotzdem: Wenn es eine Meldung wert ist (und Diskussionen in diesem Umfang), dann heißt das nur, dass es etwas besonderes ist... Oder wird jede Win-Sicherheitslücke ebenso breit diskutiert? Eben! Denn dann hätten andere (Win-)Themen überhaupt keinen Raum mehr.
The early bird catches the worm, but the second mouse gets the cheese.
0
Matthias
Matthias06.07.03 17:53
'Mal ehrlich, können TFT Displays einbrennen? Ich glaube nicht. Nur CRTs.

Wenn jemand physikalischen Zugang zu meinem Rechner bekommt, kann er die Festplatte formattieren oder tauschen. Auch wenn er sie ausliest, findet er zahlreiche Programme, die sensiblen Dateien sind aber leider verschlüsselt. Ein brute force Angriff lohnt sich eher nicht.
0
Tice
Tice07.07.03 01:39
Habs mit 1.451 Zeichen probiert und nichts passiert. Der Login screen kommt nach nem kurzen Moment wieder und fragt erneut. Scheint wohl nicht bei jedem Mac so zu sein (System 10.2.6)
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.