MACBUG.de

Apple Mail: Fehler im Assistent führt zu “Sicherheitsproblem”

von  |  am 12.Jan.2010  |  4 Kommentare

applemailicon.pngDie Redaktion hat einen Fehler in Apple Mail gefunden, welcher bisher nicht dokumentiert ist, und in gewisser Weise eine Sicherheitslücke darstellt. (vor kurzem hatten wir einen Fehler in der Größe von per Kontext-Menü kopierten Bildern gefunden)

Wer in Apple Mail einen Mail-Account einrichten möchte, dem präsentiert das Programm den Assistenten zur Einrichtung eines Accounts.

Bildschirmfoto 2010-01-12 um Dienstag 12.Januar 19.51.04.png

Wir hatten in konkretem Fall eine Mail Adresse einzurichten, die sich als “Vollständiger Name” (Absenderkennung) mit “irgendwas @ firma xy” (z.B. “Support @ MacBug”, siehe Foto) für den Empfänger darstellen sollten. So kann z.B. “Buchhaltung @ Firma XY” durchaus vorkommen. Man beachte bitte das @-Zeichen und die zwei Leerstellen.

Nach Abschluss der Einrichtung ist kein Fehler zu erkennen. Alles funktioniert einwandfrei.

Nun das große aber: Wer eine Email über den zuletzt eingerichteten Account verschickt, der schickt eine Mail an den Empfänger, in der zwei Absender vorkommen – eine MobileMe Adresse ist hinzugekommen. Diese wurde nicht von uns eingerichtet, Mail zeigt sie auch nirgendwo an.

Diese ergibt sich immer aus dem ersten Teil der Absenderkennung vor dem “@” – so z.B. “support@me.com” in unserem konkreten Fall. Gleichzeitig ist auch ein zweiter Absender in der Mail beim Empfänger zu finden – nämlich die korrekte, “support@macbug.de” in unserem Fall.

Somit braucht der Empfänger wie gewohnt nur auf “Antworten” drücken – und schickt eine Mail an beide vermeintlichen Absender – die korrekte Adresse als auch die MobileMe Adresse.

Wer also im Besitz der Adresse “support@me.com” ist (in diesem Fall wird das Apple sein), bekommt alle Mails in Zukunft auf diesem Wege in Kopie. Die Sicherheitslücke ist ganz klar, dass jemand im Besitz der Adresse “irgendwas@me.com” sein könnte und somit alles mitbekommt – der eigentliche Absender wird das nur erfahren, wenn er die Empfänger aus der Antwort genauer unter die Lupe nimmt.

Wir konnten dem Mailprogramm dieses Verhalten erst damit abgewöhnen, das “@”-Symbol komplett aus der Absenderkennung zu löschen und dies zu speichern. Danach kamen die Mails korrekt und ohne zweite Adresse an.

Erstaunlicher Weise kann danach ein “@” wieder eingefügt werden, es kommt dann nicht mehr zu einer zweiten Empfängeradresse – somit ist eindeutig der Assistent von Mail an diesem Problem Schuld.

Wir empfehlen allen Lesern, die Absenderkennungen zu überprüfen und ggf. entsprechend zu ändern.

Wir wären entsprechend dankbar für eine Prüfung dieses Fehlers unter 10.5 – unser Testrechner hatte Mac OS X 10.6.2.

Verwandter Inhalt:

  1. OS X 10.6: Apple veröffentlicht Update auf 10.6.2
  2. Mail 5.0: Den kompletten E-Mail-Verlauf dauerhaft anzeigen lassen
  3. Mail: Dokumente automatisch an E-Mails anhängen anstatt sie einzubinden
  4. Softwareaktualisierung: iLife, iDVD, iMovie, iPhoto, RAW Updates
  5. OS X 10.6: Aktualisierung auf Mac OS X 10.6.1 verfügbar
Als großer Enthusiast und langjähriger Apple-Professional, lerne ich nie aus und freue mich immer, neuen wie alten Mac-Usern mit Hilfe zur Seite zu stehen. Ich bin gerne über MacBug.de erreichbar, ein Projekt welches ich im Jahr 2007 startete. Gerne lese und beantworte ich Kommentare zu den Artikeln persönlich.
Ich freue mich auf eine Weiterempfehlung der Webseite durch unsere Leser! :)

Takeo
Alle Artikel von Takeo anzeigen.
Takeos website/twitter account

Geschrieben in Problemberichte, mit folgenden Tags: , , , ,

 

  • Pingback: “Sicherheitslücke” in Apple Mail « About Macs | Mac, iPhone und iPod News und Gerüchte

  • Mario

    Ich habe es gerade unter 10.6.2 genau wie beschrieben ausprobiert und kann das nicht bestätigen. Es wird keine versteckte Absenderadresse angelegt und wenn ich auf eine von dem neuen Account gesendet E-Mail antworte, dann wird die Antwort auch nur an die neu angelegte Adresse gesendet.

  • http://www.macbug.de Takeo

    @Mario
    nur damit das nicht einfach so unkommentiert stehen bleibt, habe ich es gerade noch mal über einen anderen Account probiert. Der Fehler tritt weiterhin auf.

  • Mario

    Tja, dann sind entweder die Bedingungen auf meinem oder auf deinem Mac besonders. Das sollte dann wohl mal noch jemand anderes testen

R-551 I-Phone 300x250 Banner

Danke sagen?

Kaffeekasse für unsere studentische Hilfe - wir sagen Danke! :)

In eigener Sache

MacBug.de – Widget

Diese Seite wird gehostet von:

Archiv

MacBug.de XING Gruppe

Links