Apple Mail in Leopard mit altem Fehler
Im März 2006 entschärfte Apple ein Sicherheitsproblem in Apple Mail, das es ermöglichte, Schadcode unter falscher Flagge einzuschleusen. Bei Leopard wurde dieser Patch offenbar vergessen.
Im März 2006 entschärfte Apple ein Sicherheitsproblem in Apple Mail, das es ermöglichte, Schadcode unter falscher Flagge einzuschleusen. Bei Leopard wurde dieser Patch offenbar vergessen: Ein Doppelklick auf ein vermeintliches JPG-Bild im Dateianhang einer Mail kann eine Datei starten.
Dateien auf einem Mac können zusätzliche Informationen enthalten, beispielsweise dass sie mit einem vom Standard abweichenden Programm zu öffnen ist. Diese legt das Betriebssystem im Dateisystem in einem sogenannten Resource Fork ab, der an die Datei gekoppelt ist. Diese Informationen sind normalerweise auf das lokale System beschränkt; für E-Mails erlaubt das MIME-Format AppleDouble jedoch das Anhängen von Ressource-Zweigen, die Apple Mail automatisch auswertet.
Damit kann ein Angreifer eine Mail basteln, deren Anhang zwar den Namen Bild.jpg trägt und mit einem JPG-Icon angezeigt wird. Versucht der Anwender jedoch, das vermeintliche Bild zu öffnen, wertet Apple Mail den Ressource Fork aus und führt beispielsweise ein Shell-Skript ohne weitere Nachfragen aus. Selbst den MIME-Typ zeigt Mail dabei als "image/jpeg" an; vorsichtige Mac-User könnten allerdings misstrauisch werden, weil das Bild nicht wie sonst üblich sofort angezeigt wird. Über den c't-E-Mail-Check kann man sich eine harmlose E-Mail zusenden lassen, die diesen Sachverhalt demonstriert.
Im März 2006 hat Apple dieses Problem entschärft: Auf einem aktuellen Tiger-System warnt Apple Mail, dass die angebliche Bilddatei ein Programm sei und mit "Terminal" geöffnet würde. Bei Leopard hat Apple dieses Update offenbar nicht oder zumindest nicht richtig eingebaut. In den Tests von heise Security öffnet sich beim Öffnen des Dateianhangs einer Test-Mail des E-Mail-Checks in den meisten Fällen direkt das Terminal-Fenster. Nur bei einer Test-Mail geschah dies nur einmal, und bei weiteren Doppelklicks erschien dann plötzlich die erwartete Nachfrage. Die Test-Mails sind bis auf die Betreffzeile und einige Verwaltungsinformationen im Header identisch.
Siehe dazu auch:
- Demo des c't-Emailchecks
- Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm auf heise Security
(ju)
