05.11.2007 14:42
Firewall in Mac OS X Leopard beschädigt Programme
Vielleicht war es doch keine schlechte Idee, dass Apple die eingebaute Firewall in Mac OS X Leopard standardmäßig nicht einschaltet. In der Einstellung "Zugriff auf bestimmte Dienste und Programme festlegen" signiert sie nämlich Programme nachträglich – und beschädigt dabei unter Umständen deren Integrität. So klagen Anwender, dass das VoIP-Programm Skype und das Online-Rollenspiel World of Warcraft den Dienst verweigern, nachdem sie es in der Firewall freigeschaltet haben.
Zum Hintergrund: Anders als bei Tiger arbeitet die Firewall in Leopard nicht mehr auf Paketebene, sondern mit Applikationen, denen sie bestimmte Netzwerkaktivitäten gestattet oder verweigert. Um Applikationen eindeutig zu identifizieren, arbeitet Apple mit den ebenfalls bei Leopard neu eingeführten Codesignaturen. Dabei haben bestimmte, von Apple signierte Programme automatisch das Recht, an der Firewall vorbei mit dem Netz zu kommunizieren.
Öffnet hingegen eine Applikation ohne gültige Signatur einen Netzwerk-Port, wird die Firewall aktiv. Im Zustand "alles blockieren", unterbindet sie die Kontaktaufnahme von außen und protokolliert dies mit Einträgen wie:
Deny evilserver connecting from 10.10.22.75:60957 uid = 0 proto=6
Im eingeschränkten Modus erscheint schon beim Versuch, einen Dienst zu starten, ein Dialog, der den Anwender um Erlaubnis fragt. Der hat dann die Möglichkeit, dies zu gestatten oder zu verbieten. Das System merkt sich diese Auswahl und trägt sie in die Ausnahmeliste der Firewall ein. Dabei versieht Apple bis dato unsignierte Programme mit einer digitalen Signatur. Wenn sich das Programm später ändert, verfällt auch die Erlaubnis.
Problematisch wird das Code-Signing, wenn ein Programm selbst seine eigene Integrität überprüft und dabei dann feststellt, dass sich die Datei auf der Festplatte geändert hat. So ändert die Apple-Signatur der Firewall die Prüfsumme von Skype:
MD5 (Skype) = 9d7fa7f77b8dc2a3c2ae61737a373c11
MD5 (Skype-org) = 4245cb201a94c76ddcb54b1cc1e58cfa
und Skype meldet beim Start von der Kommandozeile nur noch:
Main starting
Check 1 failed. Can't run Skype
Wer Skype über das GUI startet, sieht lediglich ein tanzendes Symbol, das kommentarlos wieder verschwindet. Erst nach einer erneuten Installation funktioniert das Programm wieder.
Auch World-of-Warcraft-Spieler berichten von ähnlichen Problemen. Sie erhalten unter Umständen die Meldung: "Die Spielversion konnte nicht geprüft werden. Grund dafür könnte eine beschädigte Datei oder ein Konflikt mit einem anderen Programm sein." Beim Hersteller Blizzard ist das Problem offenbar bekannt, doch als Workaround gibt es bislang nur die Empfehlung, WoW komplett neu zu installieren.
Siehe dazu auch:
- Ein zweiter Blick auf die Firewall in Mac OS X Leopard auf heise Security
(ju)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
