Apple Mail mit Sicherheitslücke à la 2006

Posted by on Nov 19, 2007 Tagged: , , , , , , , | 7 Comments

Kaum hat Apple über ein Dutzend Sicherheitslücken in Mac OS X behoben, folgt ein weiteres gravierendes Sicherheitsproblem im Zusammenhang mit Apple Mail, wobei dieses peinlicherweise bereits einmal behoben wurde, nun aber in «Leopard» erneut auftritt! 🙄

Heise Security beschreibt das Sicherheitsproblem wie folgt

Apple Mail transportiert in einem zusätzlichen, für Mac-Anwender unsichtbaren Anhang Informationen, welches Programm eine Datei öffnen soll (Content-Type: multipart/appledouble;). So kann ein Angreifer ein Shell-Skript Bild.JPG nennen und trotzdem dafür sorgen, dass die Kommandos in dem Skript ausgeführt werden. Mit einem Update im März 2006 hat Apple dieses Sicherheitsproblem entschärft.

… bei Heise Security kann man auch gleich ausprobieren, ob die eigene Apple Mail-Version von diesem (erneuten) Problem betroffen ist … 🙁

(Merci an Thomas für den entsprechenden Hinweis per E-Mail!)

7 Comments

  1. Marco
    19. November 2007

    Schade, schade…

    Beim ersten Versuch mit der heise-Mail ging direkt das Terminal auf (eben wie beschrieben). Bei erneutem Anklicken des „Bildes“, kam aber interessanterweise die Meldung:

    „Heise.jpg“ ist möglicherweise ein Programm. Es wurde an eine E-Mail-Nachricht angehängt und wird von Terminal geöffnet. Möchten Sie es wirklich öffnen?

    Im Ernstfall einen Klick zu spät…

    Reply
  2. Martin (MacMacken)
    19. November 2007

    Gut beobachtet – dito auch bei mir, das heisst beim ersten Öffnen wird das Skript ausgeführt, beim zweiten erscheint die Fehlermeldung … 🙄

    Reply
  3. Martin (MacMacken)
    19. November 2007

    Ich habe soeben mir nochmals eine Test-E-Mail von Heise Security zusenden lassen … und ich kann das Skript x-fach per Mausklick auf das Attachment starten, die Warnmeldung erscheint nicht … auch nicht nach einem Neustart von Apple Mail – seltsam, sehr seltsam!?

    In jedem Fall besteht offensichtlich eine neu-alte Sicherheitslücke in Apple Mail, auch wenn in einigen Fällen die oben zu sehende Warnmeldung erscheint … 🙁

    Reply
  4. Marco
    19. November 2007

    Ist bei mir auch so – ich bekomm die Warnmeldung nicht mehr angezeigt. Ich hatte aber auch auf „Öffnen“ gedrückt.

    Reply
  5. Martin (MacMacken)
    19. November 2007

    Ich kann die Fehlermeldung definitiv nicht mehr reproduzieren … nebenbei, auch «Quick Look» hält das an die E-Mail angehängte Skript für ein JPEG-Bild! 🙄

    Reply
  6. Johnny
    20. November 2007

    Heise Security hat es nun auch noch gemerkt!

    http://www.heise.de/newsticker/meldung/99249

    Reply
  7. Martin (MacMacken)
    20. November 2007

    Heise Security hat es nun auch noch gemerkt!

    http://www.heise.de/newsticker/meldung/99249

    … leider ohne zu erwähnen, dass auch deutschsprachige Blogs bereits darüber berichtet hatten! 🙁

    Reply

Leave a Reply