MACNOTES

Veröffentlicht am  13.06.08, 21:17 Uhr von  ml

Kommentar: Wie Apple Microsoft unterminiert

Safari Seit Apple auf Intel-Prozessoren setzt, ist der Marktanteil von Apple wieder messbar gestiegen. Die iPod-Company hat es erfolgreich geschafft das Moment, welches vom iPod freigesetzt wurde, zu nutzen um Microsoft Marktanteile abzutrotzen.

Das gelang zum einen durch hervorragende Software und ein Betriebssystem welches mit seinen Technologien und der Benutzerfreundlichkeit Standards setzt. Zum anderen ist dafür auch Apples Hardware verantwortlich, die im Bereich Design immer wieder die Marschrichtung vorgibt.

Doch es scheint, als wolle sich Apple, um weitere Marktanteile zu gewinnen, nicht mehr allein auf diese Vorteile verlassen. Quasi im Handstreich versuchte man in Cupertino zunächst sämtlichen Windows-iTunes-Nutzern Safari per Software-Update unterzuschieben. Zugegeben, das war kein feiner Zug für ein Unternehmen, dass in der Wahrnehmung als hip und cool gilt. Die umstrittene Praxis wurde geändert und nun kann Safari zumindest nicht mehr unbeabsichtigt auf den Windows-Rechner des Anwenders gelangen. Mission gescheitert?

Keineswegs, denn im sonnigen Kalifornien hat man schon die zweite Waffe scharf gemacht. Die Waffe heißt “Downloads ungefragt auf dem Desktop speichern” und lässt sich wunderbar dazu nutzen über den Internet Explorer ein Loch so groß in Windows aufzureißen, dass es einen wundert, dass da vorher noch keiner drauf gekommen ist. Weil bei Apple aber Spezialisten arbeiten, die ihren Job zudem auch noch lieben, haben sie dieses Loch gefunden. Dabei konnten sie auch auf die freundliche Unterstützung der Programmierer in Redmond zählen. So sieht die neue Freundlichkeit zwischen Redmond und Cupertino aus.

Zugegeben, die gleich vorgestellte Möglichkeit Windows aus dem Tritt zu bringen, funktioniert nur deshalb, weil Apple beharrlich existierende Windows-Standards ignoriert. Einer dieser Standards ist, dass ein Windows-Programm nie etwas tun darf, ohne den Benutzer vorher zu fragen. Um ganz sicher zu gehen wird dann meistens auch noch mal mit “Wollen Sie wirklich …” nachgefragt. Ja? Nein? Vielleicht! Über diese Konvention hat sich Apple in seiner arroganten Art viele Entscheidungen standardmäßig für den Anwender zu entscheiden, einfach hinweg gesetzt und erlaubt Safari, Downloads auch von unbekannten Dateitypen automatisch im Standard-Downloadpfad abzulegen. Ohne Nachfrage. Einfach auf den Windows-Desktop. So gut, so falsch.

Jetzt kommt das, was man gemeinerweise mit “Diese Sicherheitslücke wurde ihnen präsentiert von: Apple” bezeichnen könnte. Startet ein Anwender seinen Internet Explorer über die Desktop-Verknüpfung, so scannt der IE zunächst den Desktop, ob er dort vielleicht die von ihm benötigten Bibliotheken (DLLs) findet. Falls er fündig wird, so werden diese von dort und nicht aus dem Systemverzeichnis geladen. Die Motivation für ein solches Verhalten, welches auch trotz aktivierter SafeDLLSearchMode-Option so bleibt, wird auch bei längerem Nachdenken nicht klar und schiebe ich daher mal auf meine eigene Unwissenheit.

Da Safari nun ungefragt Downloads auf dem Desktop ablegt, kann eine böse Webseite dem Anwender also eine manipulierte DLL unterschieben. Wie das geht, hat der Sicherheitsspezialist Liu Die Yu mit Hilfe eines Demo-Exploits gezeigt, der die für die SSL/TLS-Verschlüsselung zuständige schannel.dll ersetzt und beim Start des IE den Editor startet. Jeder kann sich ausmalen, was bei entsprechender Motivation sonst noch so alles möglich ist.

Nun mag man einwenden, dass jemand der sich schon Safari auf seinem Windows-Rechner installiert ja wohl kaum wieder zum Internet Explorer zurückkehren wird, aber der IE ist nicht irgendein Windows-Programm sondern Bestandteil des Systems. So wird er auch geladen, wenn man z. B. die systemeigene Hilfe aufruft.

Microsofts erste Reaktion auf die Entdeckung dieser Sicherheitslücke war, in einem Security-Advisory dazu aufzurufen, die Nutzung von Safari einzuschränken und die Safari-Einstellungen bezüglich des Standard-Download-Orts zu ändern. Das Default-Verhalten des IE wurde auch mit dem Sicherheitsupdate vom vergangenen Dienstag nicht geändert. Bugfixing the Microsoft way.

Nun wird in der Expertenwelt heiß diskutiert, ob das Verhalten von Safari Bug oder Feature ist. Ob allerdings eine Nachfrage beim OK-klick-konditionierten Windows-Anwender einen Unterschied machen würde, darf getrost angezweifelt werden. Davon abgesehen, dass es für Apple ein Leichtes ist, einfach bei Downloads von unbekannten Dateitypen eine Nachfrage einzubauen, ist es interessant zu sehen, wie Microsoft die Umsetzung einer Sicherheitsrichtlinie auf die Anwender abwälzt. Es scheint, als wäre es Aufgabe des Anwendungsentwicklers zu überprüfen, ob er mit seinem Programm nicht in Kombination mit irgendeiner kruden Windows-Besonderheit ein Sicherheitsloch aufreißt.

Elementare Sicherheitsregeln scheinen für Microsoft uninteressant zu sein. Zwei davon sind Least privilege und Keine Software aus nicht vertrauenswürdigen Quellen. Das Erste bedeutet, dass ein Programm immer mit den kleinst möglichen Rechten ausgeführt wird und das Zweite bedeutet, dass das System niemals Code aus einer vertrauensunwürdigen Quelle ausführen darf und der Desktop des Users ist zutiefst vertrauensunwürdig.

Um nochmal auf den Anfang zurück zu kommen. Apple schießt aus allen Rohren. Und das nicht nur mit innovativen Produkten, sondern auch mit viel subtileren Methoden. Ein, sagen wir mal, kleines Safari-Feature, hat deutlich gemacht, welche Leichen womöglich noch im Windows-Keller liegen.

 Und wie ist deine Meinung?  Schreib uns einfach!

 20 Kommentar(e) bisher

  •  phranck sagte am 13. Juni 2008:

    Danke lieber Matthias Lange, ein wirklich sehr erheiternder und luftig zu lesender Artikel! Eine solche Art von “Windows Bashing” lasse ich mir gefallen… (-:

    :wq!
    phranck

    Antworten 
  •  madnil sagte am 13. Juni 2008:

    >>Startet ein Anwender seinen Internet Explorer über die Desktop-Verknüpfung, so scannt der IE zunächst den Desktop, ob er dort vielleicht die von ihm benötigten Bibliotheken (DLLs) findet.

    Egal, ob man jetzt Microsoft oder Apple Anhänger ist, aber dieses Verhalten des IE ist bekloppt! Nur weil die Verknüpfung auf dem Desktop ist, sucht er dort nach notwendigen DLLs? Vollkommen sinnfrei!

    Antworten 
  •  flippidu sagte am 13. Juni 2008:

    Es wird aber wahrscheinlich wieder zu lesen sein: “Achtung, Safari ist unsicher, besser Firefox oder IE 7 oder 8 nehmen.” Dann gehts nämlich wieder nach hinten los. So wird das nix mit dem Safari auf Windows. Wenn es aber technisch ohne Hintertür gegangen wäre und es dann hieße: “Safari bewahrt Surfer vor Unheil” – dann ja ;)
    Aber so?

    Antworten 
  •  Nico sagte am 14. Juni 2008:

    Sicherheitslücke hin oder her – Ich finde es einfach nur extrem nervig, dass Safari ungefragt Dateien irgendwo speichert, ob jetzt auf dem Desktop oder einem anderen vorher festgelegten Ordner. Das nervt mich übrigens sowohl unter Windows als auch unter Mac ;)

    Antworten 
  •  Tekl sagte am 14. Juni 2008:

    Der IE hält sich auch nicht an Windows-Gepflogenheiten, er lädt ungefragt DLL-Dateien nach. ;-)

    Ich finde es allerdings auch seltsam, dass der Safari einfach so ohne Nutzerinteraktion Dateien runterlädt. Ich fände eine Zwischenlösung gut. Angeklickte Downloads werden direkt geladen und bei automatischen Downloads, welche der Nutzer nicht direkt ausgelöst hat, wird nachgefragt. Aber sowas bitte nur bei Windows machen, da bei Leopard ja eh nach dem Download einer Datei beim ersten Ausführen eine Sicherheitsabfrage kommt.

    Antworten 
  •  yene sagte am 14. Juni 2008:

    mobileme läuft ja auch unter Windows, so wird der Kundenkreis nochmals vergrössert. Wie reagiert Microsoft? Wir werden sehen.
    ~yene

    Antworten 
  •  muad sagte am 14. Juni 2008:

    “Die umstrittene Praxis wurde geändert und nun kann Safari zumindest nicht mehr unbeabsichtigt auf den Windows-Rechner des Anwenders gelangen.”
    Ich bin der Meinung, dass diese Aussage nicht stimmt. Wenn man beim Update nicht aufpasst, bekommt man immer noch Safari untergeschoben. Die einzige Verbesserung ist, dass es nicht mehr “Update” sondern “neue Software” heißt….

    Antworten 
  •  cpier sagte am 14. Juni 2008:

    Kann mir mal jemand ein Beispiel für so einen “automatischen Download” nennen?

    Antworten 
  •  Donneker sagte am 14. Juni 2008:

    Also ich bin kein Windows Fan, denn ich benutze selbst Linux. Trotzdem ist das nicht neu, und das ein normales Verhalten für ein Windowsprogramm, auch für den IE. Wenn der IE allerdings eine SafeDLLSearchMode, dann hat diese versagt. Warum ich dies sagen kann, da ich Softwareentwickler bin und auch schon Windowsprogramme erstellt habe. Es ist in der Tat so, dass ein Programm in Windows die DLLs zunächst im aktuellen Ordner sucht, von dem aus es gestartet wurde, und dann erst in den Programm/Systemordnern. Das verhalten von IE ist daher normal.
    Die Lücke wurde auch durch Apple nicht neu aufgerissen, denn Firefox legt standardmässig seine Dateien die er herunterläd auch auf den Desktop ab, das Verhalten ist also keinesfalls neu. Möglich nur, das Firefox eventuell den Benutzer vorher fragt, hier also ein Dialog zu bestätigen ist, was bei Safari wohl nicht der Fall war. Aber das Verhalten könnte auch bei Firefox anders sein, je nachdem welche voreingestellte Variante man downloaded…

    Antworten 
  •  kleinerfeigling sagte am 14. Juni 2008:

    Ein leidlich realistisches Beispiel sind Links, die auf .doc oder .ppt-Dateien verweisen, also auf Dateitypen, die Safari nicht selbst anzeigen kann. Klickt man einen solchen Link an, beginnt augenblicklich der Download dieser Datei.

    Antworten 
  •  ml sagte am 14. Juni 2008:

    @Donneker: Das Verhalten des IE ist ein echter Design-Bug. Hier geht es darum, wenn der IE über die Desktop-Verknüpfung gestartet wird. Das Arbeitsverzeichnis sollte dann trotzdem der Programm-Ordner, oder wo auch immer der IE liegt, sein und nicht der Desktop.

    Antworten 
  •  cpier sagte am 14. Juni 2008:

    Ok, jetzt hab ich kapiert was mit dem automatischen Download gemeint ist.

    Und richtig, auch unter Windows werden Applikationen eben nicht vom Desktop gestartet, sondern aus dem Ordner /Programme/Programmname und haben somit immer noch keinen Grund, auf DLLs auf dem Desktop zuzugreifen.

    So einen derben Patzer schafft wirklich nur MS.

    Antworten 
  •  Core Quattro sagte am 14. Juni 2008:

    Auch hier wird lediglich mit lautem Getöse versucht, von diesem bereits bekannten unmöglichen Verhalten Safaris abzulenken, indem man mit dem Finger auf die Windows-/IE-Ruine etc. zeigt.

    Die Sicherheitslücke in Safari, Dateien ohne Interaktion oder Bewußtsein des Benutzers überhaupt herunterzuladen, ist unhaltbar! Und Apple lehnt arrogant eine Behebung ab. So kann jeder einem Safari-Nutzer beliebige Inhalte auf die Platte befördern und z.B. mittels dem 100. Quicktime-Sicherheitproblem zur Ausführung bringen. Der Bundestrojaner würde sich bestimmt auch gut machen. Den lädt man Mac-Usern beim Besuch einer x-beliebigen Seite einer Bundesbehörde mit Safari nebenbei einfach drauf.

    Jetzt weiß ich wieder, warum ich mit Camino/Firefox und Opera surfe. Danke Apple! Booom!

    Antworten 
  •  Dubbel sagte am 15. Juni 2008:

    Ich finde auch, dass der relevante Bug eher bei Safari liegt und weniger beim IE (auch wenn dieses Desktop-DLL-Suchen nicht sehr intelligent ist – die Sicherheitslücke reißt immernoch Safari auf).

    Antworten 
  •  Vespisti sagte am 15. Juni 2008:

    Auf dem Mac ist das doch ein ganz normales verhalten. Man klickt einen Link und das verlinkte Objekt wird ohne dummes nachfragen geladen. Das geschieht weder ungefragt noch unkontrollierbar. Der Nutzer sollte sich schon Gedanken machen wohin er klickt (Achtung! Der Inhalt dieses Kaffeebechers kann zu Verbrennungen führen!). Bei OSX prüft halt das Betriebssystem und nicht der Browser welche Datei wo her kommt. Die Sicherheitsabfrage findet also erst bei Ausführung statt.
    Das ist in etwa so, als würde ich einen Sack Mehl durch den Zoll bringen, der in Wirklichkeit Sarin enthält. MS fragt mich beim einführen, ob ich etwas zu verzollen habe. OSX fragt mich, evtl. erst einige Tage später, ob ich den Sack wirklich öffnen will. Da setze ich doch lieber auf OSX.

    Die Idee DLLs anhand des Verknüpfungspunktes zu identifizieren ist schizophren! Das machte vor 20 Jahren Sinn, als man noch mit jedem Bit sparsam umgehen musste und jeder Spaß daran hatte herumzuscripten. Windows ist und bleibt alte Technik für Nostalgiker und Unwissende. Aber wir befinden uns ja nun schon mitten in der Aufklärung ;-)

    Antworten 
  •  Core Quattro sagte am 15. Juni 2008:

    Vespisti, du hast nicht verstanden, wie sich das Safari-Sicherheitsleck auswirkt. Es bedarf keines Klicks, kein gar nichts, um Dinge im Hintergrund auf die Platte zu befördern. Sei es KiPo oder Schadcode, einen Weg, diesen lokal auszuführen, findet sich immer. Und sei es durch Social Engineering.
    Wenn du das als “normales Verhalten” erachtest, bin du nicht ganz bei Trost. Solche Dinge gehören nicht auf die Platte, schon gar nicht ohne Mitwissen und -wirken des Benutzers!

    Das Verhalten von Windows und IE interessiert dabei nicht. Das ist nicht die Meßlatte. Wer es im Netz einsetzt, muß wissen, was im blüht. Das gleiche gilt für OS X und Safari, welches ich und andere jedoch im Gegensatz zu Windows einsetze.

    Antworten 
  •  ml sagte am 15. Juni 2008:

    @Dubbel: Safari reißt hier überhaupt keine Sicherheitslücke auf. Safari macht es nur einfacher eine in Windows existierende Lücke auszunutzen, denn wenn man bei Firefox auch auf Nachfrage einen Download speichert, dann kann der gleiche Schadcode genauso auf den Desktop gelangen.

    Antworten 
  •  @winnotes.de sagte am 15. Juni 2008:

    http://www.dhanjani.com/archives/2008/05/safari_carpet_bomb.html

    Go figure.

    Antworten 
  •  Alex sagte am 13. August 2008:

    Redmond – start your photocomputers!

    Antworten 
  •  explorer sagte am 17. September 2009:

    Das finde ich alles ziemlich weit hergeholt. Ich glaube nicht, dass Apple das gemacht hat, um Windows-Lücken aufzuzeigen, zumal der normale Windows-Nutzer dann eher die Schuld auf Safari schiebt und nicht auf den IE. Ich sehe keinen Grund, warum Apple dafür Zeit verschwenden sollte. Apple wahrt das Prinzip der Einfachheit. In jedem Browser kann man in den Einstellungen angeben, wo Dinge gespeichert werden. Für halbwegs organisierte Nutzer dürfte es kein Problem sein, das vorher einzustellen, und alle, denen es egal ist, wird Safari gerecht: Es speichert dort, wo man es am ehesten nicht übersieht oder suchen muss, nämlich auf dem Desktop.

    Antworten 

Kommentar verfassen

Werbung
© 2006-2013 MACNOTES.DE. Made with insanely great for all things Mac. Apple.de