Böse kann die Sache dann werden, wenn kombinierte Attacken erfolgen, welche diese Sicherheitslücke ausnutzen. So wäre es möglich, zum Beispiel mit einer Sicherheitslücke im Webbrowser Zugang zu einem Account, zu bekommen, so tidbits, und anschließend über den ARDAgent-Befehl root-Rechte zu erlangen, um einen Trojaner zu installieren. Ausgenutzt wird die Sicherheitslücke bereits durch den Trojaner PokerStealer, der vorgibt ein Poker-Programm zu sein, und von Intego entdeckt wurde.
Abgesehen davon, keine unseriöse Software aus dubiosen Quellen auf den Mac zu laden und auszuführen, kann man die Apple-Remote-Desktop-Lücke auch anderweitig stopfen, bis ein Update von Apple erscheint. So empfiehlt tidbits folgenden Eingabe im Terminal (in einer Zeile):
sudo chmod -R u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app
Hiermit werden die Rechte des ARDAgent geändert. Ein andere Möglichkeit ist, ARDAgent.app zu zippen und in einem anderen Ordner zu platzieren (anschließend kann die Original-Datei gelöscht werden). Dies sollte man nur tun, wenn Apple Remote Desktop nicht verwendet wird. Eine Übersicht von Problemen und Lösungen zu diesem Root-Exploit für Mac OS X bietet auch heise.
Diskutiere mit!
Hier kannst du den Artikel "Schutz vor neuer Sicherheitslücke in Mac OS X" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.
Ich verstehe nicht ganz, warum in all diesen Meldungen immer Terminal-Befehle empfohlen werden, an die sich die meisten User doch gar nicht herantrauen (sollten). Für Tiger mag ich das vielleicht noch einsehen, aber für Leopard?
Ich zitiere mal Heise (und MacLife hat es auch schon gemeldet, aber anscheinend wieder vergessen):
"Der Exploit funktioniert nicht, wenn unter Mac OS X 10.5 "Systemeinstellungen/Sharing/" die Option "Entfernte Verwaltung" aktiviert ist – was standardmäßig nicht der Fall ist. Ähnliches soll gelten, wenn unter Mac OS X 10.4 der Apple Remote Desktop Client installiert und aktiviert ist."
Unter Leopard genügt also ein einziges Häkchen in den Systemeinstellungen/Sharing!
Gruß
Jein. Die Häkchen-Lösung ist zwar einfach und schnell erledigt, aber dafür leider nicht sehr effektiv: Der ARDAgent lässt sich von Angreifern und böswilligen Programmen beenden und in einem Zustand neu starten, der von dem Häkchen in den Systemeinstellungen nicht mehr beeinflusst wird. Tojaner oder ähnliche Schädlinge bräuchten dann nur noch einen zusätzlichen Befehl, um die Sicherheitslücke weiterhin auszunutzen.
Effektiver ist es daher, dem ARDAgent per Terminal-Befehl die entsprechenden Rechte zu entziehen. Bombensicher ist allerdings auch das nicht: beim nächsten Mal Rechte-Reparieren wird die Änderung wieder rückgängig gemacht.
Man sieht also: Das Problem ist eine grundsätzliche Sicherheitslücke, die von Apple selbst durch eine neue, sichere Version des ARDAgent behoben werden muss. Alle anderen Lösungen können nur Übergangslösungen sein, und sind daher vielleicht nicht für jeden ganz so einfach zu bewerkstelligen.