« Apple-Anwendungen mit Heimweh
Endlosschleife mit Wuala »

Apple Mail mit Sicherheitslücke à la 2006

Montag, 19. November 2007 um 17:50 Uhr

Kaum hat Apple über ein Dutzend Sicherheitslücken in Mac OS X behoben, folgt ein weiteres gravierendes Sicherheitsproblem im Zusammenhang mit Apple Mail, wobei dieses peinlicherweise bereits einmal behoben wurde, nun aber in «Leopard» erneut auftritt! :roll:

Heise Security beschreibt das Sicherheitsproblem wie folgt

Apple Mail transportiert in einem zusätzlichen, für Mac-Anwender unsichtbaren Anhang Informationen, welches Programm eine Datei öffnen soll (Content-Type: multipart/appledouble;). So kann ein Angreifer ein Shell-Skript Bild.JPG nennen und trotzdem dafür sorgen, dass die Kommandos in dem Skript ausgeführt werden. Mit einem Update im März 2006 hat Apple dieses Sicherheitsproblem entschärft.

… bei Heise Security kann man auch gleich ausprobieren, ob die eigene Apple Mail-Version von diesem (erneuten) Problem betroffen ist … :(

(Merci an Thomas für den entsprechenden Hinweis per E-Mail!)

Dieser Blogeintrag wurde am Montag, 19. November 2007 um 17:50 Uhr publiziert und mit den Schlagwörtern «, , , , , , , » versehen. Etwaige Kommentare zu diesem Blogeintrag können Sie per RSS sowie per E-Mail-Benachrichtigung verfolgen. Sie können diesen Blogeintrag direkt kommentieren oder sich per Trackback von Ihrer eigenen Website aus dazu äussern.

9 Kommentare zu «Apple Mail mit Sicherheitslücke à la 2006»

  1. Gravatar Marco hinterliess folgenden Kommentar:
    Montag, 19. November 2007 um 20:42 Uhr

    Schade, schade…

    Beim ersten Versuch mit der heise-Mail ging direkt das Terminal auf (eben wie beschrieben). Bei erneutem Anklicken des “Bildes”, kam aber interessanterweise die Meldung:

    „Heise.jpg“ ist möglicherweise ein Programm. Es wurde an eine E-Mail-Nachricht angehängt und wird von Terminal geöffnet. Möchten Sie es wirklich öffnen?

    Im Ernstfall einen Klick zu spät…

  2. Gravatar MacMacken hinterliess folgenden Kommentar:
    Montag, 19. November 2007 um 21:08 Uhr

    Gut beobachtet - dito auch bei mir, das heisst beim ersten Öffnen wird das Skript ausgeführt, beim zweiten erscheint die Fehlermeldung … :roll:

  3. Gravatar MacMacken hinterliess folgenden Kommentar:
    Montag, 19. November 2007 um 21:12 Uhr

    Ich habe soeben mir nochmals eine Test-E-Mail von Heise Security zusenden lassen … und ich kann das Skript x-fach per Mausklick auf das Attachment starten, die Warnmeldung erscheint nicht … auch nicht nach einem Neustart von Apple Mail – seltsam, sehr seltsam!?

    In jedem Fall besteht offensichtlich eine neu-alte Sicherheitslücke in Apple Mail, auch wenn in einigen Fällen die oben zu sehende Warnmeldung erscheint … :(

  4. Gravatar Marco hinterliess folgenden Kommentar:
    Montag, 19. November 2007 um 21:15 Uhr

    Ist bei mir auch so - ich bekomm die Warnmeldung nicht mehr angezeigt. Ich hatte aber auch auf “Öffnen” gedrückt.

  5. Gravatar MacMacken hinterliess folgenden Kommentar:
    Montag, 19. November 2007 um 21:24 Uhr

    Ich kann die Fehlermeldung definitiv nicht mehr reproduzieren … nebenbei, auch «Quick Look» hält das an die E-Mail angehängte Skript für ein JPEG-Bild! :roll:

  6. Gravatar Johnny hinterliess folgenden Kommentar:
    Dienstag, 20. November 2007 um 10:12 Uhr

    Heise Security hat es nun auch noch gemerkt!

    http://www.heise.de/newsticker/meldung/99249

  7. Gravatar MacMacken » 10 × Mac OS X «Leopard»-Sicherheit für Anfänger hinterliess folgenden Kommentar:
    Dienstag, 20. November 2007 um 10:36 Uhr

    [...] gilt selbstverständlich auch für Dateien, die man per E-Mail empfängt (typischerweise als Anhang, Anlage oder [...]

  8. Gravatar MacMacken hinterliess folgenden Kommentar:
    Dienstag, 20. November 2007 um 16:02 Uhr

    Heise Security hat es nun auch noch gemerkt!

    http://www.heise.de/newsticker/meldung/99249

    … leider ohne zu erwähnen, dass auch deutschsprachige Blogs bereits darüber berichtet hatten! :(

  9. Gravatar MacMacken » Apple Mail auch 2008 mit Sicherheitslücke à la 2006 hinterliess folgenden Kommentar:
    Donnerstag, 10. Januar 2008 um 4:39 Uhr

    [...] 19. November 2007 berichtete unter anderem MacMacken über eine Sicherheitslücke in Apple Mail, die für Mac OS X «Tiger» behoben worden war, in «Leopar…. Apple kennt das Problem, jedenfalls werden entsprechende Fehlermeldungen im «Bug Reporter» als [...]

Blogeintrag kommentieren!

Blogeinträge zu verwandten Themen