Unsicheres Surfen mit Safari

Eine geschickte Verkettung mehrerer Funktionen von Mac OS X erlaubt es bösartigen Angreifern, beim Aufrufen einer Web-Seite mit Apples Web-Browser Safari beliebige Programme auf dem Rechner des Besuchers auszuführen.

In Pocket speichern vorlesen Druckansicht 309 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Andreas Beier

Eine geschickte Verkettung mehrerer Funktionen von Mac OS X erlaubt es bösartigen Angreifern, beim Aufrufen einer Webseite mit Apples Web-Browser Safari beliebige Programme auf dem Rechner des Besuchers auszuführen. Dazu muss im Bereich "Allgemein" der Einstellungen von Safari lediglich die Option "Sichere Dateien nach dem Laden öffnen" aktiviert sein. Dann zeigt der Browser nach einem Download Disk-Images (erkennbar an der Endung ".dmg") automatisch als Laufwerke am Schreibtisch an.

Das ist noch nicht weiter gefährlich -- aber da das Betriebssystem Laufwerke immer unter /Volumes/Volumename ins System einbindet, ist einem Angreifer deshalb der Pfad zu einem AppleScript oder Programm auf dem Disk-Image bekannt. Über eine URL der Form "help:runscript=..." lässt sich vom Web-Browser aus der systemeigene Help-Viewer öffnen, der wiederum, wenn es so in der URL steht, über sein Skript "OpnApp" die eingeschmuggelte Software startet. Die kann dann mit den Rechten des aktuellen Benutzers zumindest in dessen Home-Verzeichnis nach Belieben schalten und walten. Gehört der Anwender gar zur Gruppe der Administratoren, kann sie sich unter Umständen sogar fest in den Startablauf von Mac OS X einhängen und wäre dann nach jedem Systemstart erneut aktiv.

Um auf der sicheren Seite zu sein, genügt es, die Option "Sichere Dateien nach dem Laden öffnen" abzuschalten. Diese Funktion ist der eigentliche Türöffner für Angreifer. Das Ausführen einer Help-Viewer-URL funktioniert in anderen Browsern ebenso.

Die Sicherheitslücke ist bereits detailliert im Internet beschrieben. Dort muss man zwar noch zweimal klicken, um die Anfälligkeit demonstriert zu bekommen, über Meta-Tags im HTML-Code einer Web-Seite lässt sich der Download eines Images und das Starten einer Anwendung darin jedoch automatisieren. Das gesamte Procedere geschieht zwar nicht unsichtbar für den Anwender, kann aber je nach Internet-Anbindung und Rechner so schnell ablaufen, dass man realistisch keine Chance hat, es zu unterbinden. (adb)