Sicherheitslücke in Mac OS X betrifft auch Apples E-Mail-Programm [Update]

Die Schwachstelle in Apples Betriebssystem Mac OS X zieht weitere Kreise als zunächst vermutet. Neben der Angriffsmöglichkeit über den Web-Browser Safari führt auch Apple-Mail unter bestimmten Umständen Skripte ohne Rückfrage aus.
Anzeige

Dazu genügt es, ein Skript mit der Endung "jpg" als Bild zu tarnen, über den Mac-OS-Finder aber das Programm "Terminal" als Programm festzulegen, das diese Datei öffnen soll. Verschickt man das Skript anschließend als im Format AppleDouble kodierten Dateianhang, so wandert auch die Information, dass das Terminal die Datei öffnen soll, zum Empfänger. Apples Mail zeigt den Anhang mit einem JPG-Dateisymbol an, ein einfacher Klick darauf führt das Skript aber ohne Nachfrage im Terminal aus.

Analog zu vielen Windows-Viren könnte sich auf diesem Weg auch ein Schädling für Mac OS X via Mail verbreiten. Dazu müsste er lediglich Apple-Mail-User mit einen entsprechenden Text zum Öffnen der angeblichen Bilddatei zu bewegen. Über den Emailcheck von heise Security können Sie sich eine harmlose E-Mail zusenden lassen, die dieses Problem demonstriert.

Das grundlegende Problem liegt darin, dass ein Angreifer bestimmen kann, welche Anwendung eine Datei öffnen soll. Diese Information steckt normalerweise im Ressourcenzweig der Datei und ist damit auf das lokale System beschränkt. Um sie übers Netz zu transportieren, kann man jedoch die Mac-typischen Ressourcen so beilegen, dass sie von den zuständigen Programmen ausgewertet werden. Bei der gestern gemeldeten Schwachstelle enthielt das ZIP-Archiv zusätzlich den Ordner __MACOSX mit den Metadaten. Man kann sich beim Öffnen der darin verpackten JPG-Datei auch dann ohne Warnung infizieren, wenn man die ZIP-Datei vorher via Firefox auf seinen Mac heruntergeladen und gespeichert hat. Für E-Mails erlaubt das MIME-Format AppleDouble das Anhängen von Ressource-Zweigen, die Apple Mail automatisch auswertet. Erschwerend hinzu kommt, dass in beiden Fällen der Typ der Datei über deren Endung ermittelt wird -- also in die Irre führen kann.

Das kostenlose E-Mail-Programm Thunderbird fällt nicht auf den Angriff herein, da es AppleDouble nicht auswertet. Es hilft auch, das Terminal aus /Programme/Dienstprogramme in ein anderes Verzeichnis zu verschieben. Besser noch ist es allerdings, Dateien unbekannten Ursprungs gar nicht erst zu öffnen.

Update:
Die Demo des Emailchecks funktioniert mit Mac OS X 10.4 aka Tiger und Apple Mail 2: Beim Klick auf die angebliche JPG-Datei öffnet sich direkt ein Terminal-Fenster. Bei älteren Versionen erscheint vorher eine Warnung, dass es sich bei dem Anhang um ein ausführbares Programm handelt. Ob dies tatsächlich auf bessere Schutzmaßnahmen zurückzuführen ist oder sich die Demo einfach anpassen lässt, müssen weitere Untersuchungen zeigen.