OS X: 10.9.3 /Users Sicherheits-Fehler

Nach dem Update auf 10.9.3 ist das /Users-Verzeichnis world-writeable, also für jeden schreibbar. Das ist ein ernsthaftes Sicherheitsproblem:

ls -ald /Users
drwxrwxrwx@ 6 root  admin  204 Sep 12  2013 /Users

Mit dieser Rechtevergabe für das Verzeichnis, das die Home-Verzeichnisse der User enthält, ist es möglich, alle User-Homes zu löschen. Zugriff auf private User-Daten wie das Documents- oder Pictures-Verzeichnis bekommt man allerdings damit nicht.

Zum Glück gibt es eine einfache Lösung: Rechte reparieren mit dem Disk Utility (Festplatten Dienstprogramm) behebt das Problem. Dann sieht es wieder so aus:

ls -ald /Users
drwxr-xr-x@ 6 root  admin  204 Sep 12  2013 /Users

Unkritisch, aber seltsam ist, daß das /Users-Verzeichnis außerdem noch das hidden Flag (versteckte Anzeige) nach dem Update setzt:

ls -ldO /Users
drwxr-xr-x@ 6 root  admin  hidden 204 Sep 12  2013 /Users

Im Finder ist dadurch das /Users Verzeichnis erstmal unsichtbar. Da man über sein Home-Icon immer in sein eigenes Verzeichnis kommt (oder mit Command-Shift-h), sollte das kein Problem sein. Apple hatte über dasselbe hidden Flag vor einiger Zeit das ~/Library Verzeichnis ausgeblendet, so daß dieses im Finder nur noch per Go-Menü (gehe zu) erreicht werden konnte, wenn man die alt-Taste gedrückt hält.

ls -ldO ~/Library/
drwx------@ 82 macmark  staff  hidden 2788 Apr 30 23:52 /Users/macmark/Library/

Die verstellten Zugriffsrechte für /Users sind ein offensichtlicher Fehler. Daß /Users auch noch mit hidden versteckt wurde, ist möglicherweise Absicht.

Apple Fix

Apple hat inzwischen ein Sicherheits-Update rausgeschickt, das die falschen Berechtigungen für /Users behebt. Daraus geht auch hervor, daß die Zugriffsrechte anscheinend bei jedem Neustart wieder falsch eingestellt wurden.

Auch die Sichtbarkeit ist wieder wie vorher, kein hidden Flag mehr:

ls -ldO /Users
drwxr-xr-x  6 root  admin  - 204 Sep 12  2013 /Users

Manche Seiten rieten dazu, mit Skripten, die beim Rechnerstart ausgeführt werden, die verkorksten Einstellungen zu korrigieren. Das ist nun zum Glück nicht mehr nötig.

Valid XHTML 1.0!

Besucherzähler


Latest Update: 11. September 2015 at 19:49h (german time)
Link: cnc.realmacmark.de/blog/osx_blog_2014-05-b.php