[img=right]http://www.macfreak.nl/base/data/news/images/apple.jpg[/img]SecureMac en Intego waarschuwen ons voor twee verschillende exploits die een Mac OS X gebruiker zouden kunnen bedreigen. Met nadruk 'zouden kunnen' want de gemiddelde gebruiker loopt ook in deze gevallen weinig risico.

In het ene geval gaat het om een Trojaans Paard dat op dit moment op het net te vinden is onder de naam ASthtv05 (60 kB, en dit is een AppleScript-bestand) en AStht_v06 (3,1 MB en hetzelfde bestand maar nu als programma).
SecureMac heeft deze bedreiging gesignaleerd en voor zover wij weten is MacScan (US $ 29,95 van hetzelfde SecureMac) de enige remedie om hier 100% tegen beveiligd te zijn.
Voorlopig is de naam al bekend maar aangezien de makers het er al over hebben om dit via Limewire en iChat te verspreiden zal die naam ook wel veranderen. Maar voor alle duidelijkheid, hoewel dit Trojaanse Paard slecht nieuws is is de kans dat een normale gebruiker het op z'n Mac krijgt bijna nul, als je geen illegale bestanden download zouden wij ook niet weten hoe je dit op je systeem moet krijgen. Mocht je dit Trojaanse Paard trouwens op je systeem hebben of krijgen dan staat het in /Library/Caches en zal zichzelf iedere keer bij het opstarten activeren.

Het tweede geval wordt gemeld door Intego en is in ieder geval makkelijker tegen te gaan, namelijk door de Apple Remote Desktop agent op je systeem aan te zetten, dus ook als je ARD niet gebruikt. Het aanzetten van ARD doe je in System Preferences > Sharing > Remote Management (Systeemvoorkeuren > Delen > Extern Beheer).
Er bestaat trouwens ook nog een zwaardere oplossing, maar die zal hoogstwaarschijnlijk bij toekomstige updates in de weg zitten en wordt dus niet door ons aangeraden.

Beide exploits maken gebruik van het feit dat ARD als root je systeem mag beheren, dus de verwachting is dat deze ellende binnenkort door Apple met een Security Update opgelost zal worden. In de tussentijd weinig reden tot paniek, maar een gewaarschuwd mens telt gelukkig wel voor twee.

Maar het betekent dus wel dat ze zich automatisch installeren, of moet je nog ergens op klikken? En hoef je niet je admin ww in te voeren, mocht je per ongeluk tegen deze dingen aanlopen?

En volgens mij moet je in sys.voork -> Delen niet Bestandsdeling hebben, maar juist Externe Toegang en dan die aanzetten, of klopt die niet?

Overigens is de zwaardere oplossing niet echt een werkende link

(Bewerkt door Kobes om 11:36, 20-06-2008)

Een Trojaans paard is een programma dat zich anders voordoet dan het is. Je moet dat programma dus zelf nog opstarten. Bijvoorbeeld omdat het 'klikhiervoorgeld.app' heeft ofzo. Dat soort bedreigingen zijn dus vooral gevaarlijk als je niet goed oplet wat je toegestuurd krijgt of wat je downloadt.

Kobes om 11:34, 20-06-2008
En volgens mij moet je in sys.voork -> Delen niet Bestandsdeling hebben, maar juist Externe Toegang en dan die aanzetten, of klopt die niet?

"Extern beheer" is het zelfs.

Mijn excuses, de niet werkende link is inmiddels gerepareerd en het was inderdaad Remote Management/Extern Beheer en dat is natuurlijk ook meteen aangepast.

Leg nog heel even uit waarom ik ARD/extern beheer AAN moet zetten? Ik zou dat juist uitzetten als hiermee toegang tot je systeem kan worden verkregen...

Ja vind dat ook een beetje raar.

Je schrijft "Beide exploits maken gebruik van het feit dat ARD als root je systeem mag beheren".

Als 'ie dan uit staat kan ARD toch niets beheren?

Het probleem ligt erin dat je als lokale gebruiker de rechten hebt om het ARD programma op te starten. Door daarbij een commando door te spelen aan ARD, zal hij dat commando uitvoeren.. en dat doet hij als root. Daar ligt dus het probleem.

Ik denk dat je door ARD vooraf aan te zetten op de een of andere manier juist een strengere controle activeert (immers, ARD rekent er dan op dat je van buitenaf zult gaan inloggen en laat daar dan strengere controles op los). Dat is mijn gok.

Een Trojaans Paard?

Zolang hij niet met zijn hoeven binnen-in mijn comp. iets stuk maakt mag hij lekker galopperen..
Het zal voor hem ook nieuw zijn en hij weet toch niet waar hij naar toe moet!

De oplossing om ARD komt van TUAW (link staat onder 'zwaardere oplossing' in het nieuwsbericht) en de reden wordt daar niet gegeven. Mijn insteek is verder dezelfde als mvdg.

Matasono Chargen weet hier veel meer van af dan de meesten van ons en is er in ieder geval niet erg van onder de indruk, dus misschien toch een stormpje in een glas water?

Ik vind die functies niet op mijn engelse Tiger. Wat nu?

Het grote nadeel van die ARD bug is dat je gewone gebruikers in je bedrijfsnetwerk zo ook in staat zijn om foute dingen te doen op hun werkplek. Naast het feit dat ze nu het netwerk kunnen sniffen (passwords afluisteren!) zijn ze ook in staat om zelf andere trojaanse paarden en dingen als keyboard sniffers als root te installeren.

EDIT:

Het probleem zit'm er in dat Apple nogal liberaal om is gegaan met zogenaamde "setuid" bestanden. Dit zijn binaries (programma's) die voor normale users te draaien zijn, maar die als root draaien. D'r zitten veel meer van dat soort binaries op je systeem, maar ARD is zo opvallend omdat het ook luistert naar AppleScript calls.

Ik zal binnenkort nog eens een check doen naar alle setuid files op m'n laptop. Misschien preventief wat dingen uitzetten

(Bewerkt door Cailin Coilleach om 15:58, 20-06-2008)

Ik denk trouwens dat je BEHEER aanzet, dus juist WEL beheert  

Binnen dat beheer zet je dan volgens mij verder niets 'open' dus veiliger?

Altijd lastig, dat engels.

Inmiddels een goede (visuele) handleiding gevonden, en die is hier te vinden.

@ Panico: Misschien dat jij er met die handleiding onder Tiger ook uit komt? Als dat niet lukt laat het dan hier even weten, dan start ik de oude Cube met Tiger even op...

All Clear.

Hoeven mensen met Panther zich hierover dus geen zorgen te maken?

Het is natuurlijk nog maar de vraag hoe groot de kans dat je hier ellende aan overhoud, voorlopig lijkt me die toch wel èrg klein. M.a.w. zoveel zorgen hoeft niemand zich te maken.

Geen idee of dit onder Panther (en ouder) ook speelt, werd de suid toen niet op een andere manier afgehandeld? Volgens mij wel, maar de kennis daarover is eerlijk gezegd wel een beetje weggezakt...

@ Panico:

De reden waarom men zegt dat je ARD aan moet zetten is omdat er blijkbaar IETS in die software zit dat voorkomt dat de setuid wordt gebruikt als hij aan staat. Het is heel opmerkelijk en ruikt naar een tweede bug. In elk geval voorkomt het aanzetten van ARD dus dat je als root een shell script kan draaien via ARD+AppleScript.

Me, ik kies d'r voor om die setuid gewoon d'r af te halen. Ik gebruik "Repair permissions" echt nooit, dus  het wordt ook niet zo gauw terug gezet.

Cailin Coilleach om 17:22, 20-06-2008
De reden waarom men zegt dat je ARD aan moet zetten is omdat er blijkbaar IETS in die software zit dat voorkomt dat de setuid wordt gebruikt als hij aan staat. Het is heel opmerkelijk en ruikt naar een tweede bug.

En die gedachte was bij mij ook al opgekomen...

Heeft dit alles ook te maken met het gast-account bij de systeemvoorkeuren onder accounts? Er is bij mij ooit een keer een gastaccount aangemaakt, ik denk dat dat gebeurt is met de installatie van een FTP-programma, die dat dan nodig had. Ik krijg het er i.i.g. niet meer uit. Ik kan het wel uitzetten.

Een grappige verandering nadat ik Extern Beheer heb aangezet: Als je schermdeling zou willen aanzetten krijg je in dat scherm de volgende melding: Schermdeling wordt momenteel beheerd door de voorziening voor extern beheer.
Dat was eerst niet zo, maar het klinkt niet onveilig...

Hatetepee om 22:03, 20-06-2008
Heeft dit alles ook te maken met het gast-account bij de systeemvoorkeuren onder accounts?

Nee, dat zou er niets mee te maken moeten hebben.