Macwelt: Sherlock hat Sicherheitsloch

"Sherlock", die Suchhilfe des Macintosh-Betriebssystems, weist eine Sicherheitslücke auf. Wie unsere Schwesterpublikation Macwelt in ihrer Online-Ausgabe berichtet, sendet das Programm in bestimmten Situationen vom Benutzer unbemerkt die E-Mail-Adresse über das Internet.

Durch eine Einstellung können die Autoren von "Sherlock"-Plug-ins die Suchhilfe dazu überreden, die E-Mail-Adresse des Benutzers der Plug-ins an den Server zu schicken. Einer Untersuchung von macwelt.de zufolge, die in Zusammenarbeit mit MacSherlock erfolgte, verursacht der Aktualisierungsmechanismus für "Sherlock"-PlugIns die Sicherheitslücke. Mit seiner Hilfe kann der Autor einer Erweiterung festlegen, dass "Sherlock" sich regelmäßig beim Server des Autors meldet und nachfragt, ob eine neue Version des Plug-ins vorliegt. Hat sich die Versionsnummer geändert, erteilt "Sherlock" der Systemerweiterung "URL Access" die Aufgabe, die neue Version über das Internet auf den Rechner zu laden.

Wie die Macwelt berichtet, hat ein Apple-Programmierer an dieser Stelle nicht aufgepasst. Denn wenn der Update auf einem FTP-Server im Internet gespeichert ist, muss sich "URL Access" bei diesem Server anmelden. Dabei lautet der Benutzername, entsprechend dem Internet-Verhaltenskodex, "anonymous" und als Kennwort dient die E-Mail-Adresse. "URL Access" sendet entsprechend ohne weitere Rückfrage beim Benutzer als Kennwort die E-Mail-Adresse aus dem Kontrollfeld "Internet".

Abhilfe kann sich der Benutzer auf mehrere Arten verschaffen. Entweder - sofern praktikabel - einen Falscheintrag im Kontrollfeld "Internet" einsetzen oder auf entsprechend konfigurierte Plug-ins verzichten. Wie man Plug-ins auf die Sicherheitslücke hin prüft, lesen Sie auf den Sites der Macwelt (uba)