BuzzE om 9:43, 23-02-2006
John Gruber van Daring Fireball heeft ook een stukje over deze exploit geschreven:
http://daringfireball.net/2006/02/safari_shell_script_exploit

Hij legt op een goede manier uit op welke manieren je in OS X een bestand aan een applicatie kan koppelen. Dat heeft dus helemaal niets specifiek met shell scripts te maken, zoals Spooter suggereert.

Hij vind net als ik ook dat het verminken/verplaatsen/vermommen van Terminal.App een slecht idee is.

Hallo Buzze,

Ik vind verplaatsen ook niet DE optie, maar vooralsnog wel een goede (op dit moment).

Ik blijf erop hameren dat het mogelijk zou moeten zijn om aan een applicatie, zoals de Terminal, voorwaarden te verbinden vwb het opstarten ervan vanuit een dubbelgeklikte file.

(dat is wat anders als eigenhandig de Terminal openen en daar commandline een executable mee activeren/openen/uitvoeren)

Tuurlijk blijft het het veiligst om niet onder een administratorsaccount te werken en files die je niet vertrouwt links te laten liggen...

Doe vooral op je eigen systeem wat jij denkt dat het beste is, zolang je anderen maar niet aanzet tot het verminken van systeemapplicaties door ze daarbij een vals gevoel van veiligheid aan te praten.


Vergeet niet dat die dubbelgeklikte file die er als .jpg uitziet de volgende keer net zo goed zelf al een kwaadwillend programma kan zijn, die helemaal geen andere applicatie (zoals Terminal) nodig heeft om zijn werk te doen. Aan het verplaatsen of hernoemen van de Terminal, of voorwaarden voor het openen van applicaties vanuit dubbelgeklikte files, heb je in dat geval helemaal niets.

(Bewerkt door BuzzE om 15:28, 23-02-2006)

en nu is op Webwereld ook nog eens te lezen dat Mail dit probleem ook heeft.

Apple heeft al een update vrijgegeven met 10.4.5 en nu werkt het niet meer met Safari en het terminal...

awesomemac: Dat er een veiligheidslek in Mail zit is denk ik onjuist. Mail opent het attachment niet automatisch, terwijl Safari dat met het gedownloade bestand wel doet. In andere e-mail programma's op OS X loop je volgens mij evenveel gevaar. Als je geen verdachte attachments opent is er niets aan de hand.

Rolade: Dat is niet waar. Het probleem is na het vrijgeven van 10.4.5 pas bekend geworden en het lek is dus in 10.4.5 nog niet verholpen.

(Bewerkt door BuzzE om 11:23, 24-02-2006)

mee eens, maar er zullen vast genoeg mensen zijn die maar elke bijlage zomaar openen.

Misschien even tussen haakjes; maar waarom is er nog steeds geen update geweest?

Misschien omdat er geen grote dreiging is?
Misschien omdat iedereen zelf dat tick-boxje wel uit kan zetten?

Geen grote dreiging daar ben ik het absoluut niet mee eens.
Iedere Jandoedel kan op een ongelofelijk makkelijke manier zorgen
dat mensen hun gegevens beschadigd worden. Het is echt een
probleem hoor, waar snel een oplossing voor moet komen van de
kant van Apple.

Waarschijnlijk eerder omdat ze gewoon tijd nodig hebben om:
1. de enige juiste oplossing te verzinnen en dus niet met een kludge aan te komen zetten.
2. deze oplossing goed testen.
3. deze oplossing naar de beta-testers sturen
4. deze oplossing packagen voor Software Update.

Het leveren van een gedegen oplossing voor een probleem wil nog wel eens dik wat tijd kosten.

Wat een toeval!

Security Update 2006-001 is nu te downloaden.

Gentlemen, start your (download) engines!

Inderdaad. En hier staat de boosdoener beschreven:

Safari, LaunchServices

CVE-ID: CVE-2006-0394

Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.5, Mac OS X Server v10.4.5

Impact: Viewing a malicious web site may result in arbitrary code execution

Description: It is possible to construct a file which appears to be a safe file type, such as an image or movie, but is actually an application. When the "Open `safe' files after downloading" option is enabled in Safari's General preferences, visiting a malicious web site may result in the automatic download and execution of such a file. A proof-of-concept has been detected on public web sites that demonstrates the automatic execution of shell scripts. This update addresses the issue by performing additional download validation so that the user is warned (in Mac OS X v10.4.5) or the download is not automatically opened (in Mac OS X v10.3.9).

En deze is ook belangrijk:

iChat. A malicious application named Leap.A that attempts to propagate using iChat has been detected. With this update for Mac OS X v10.4.5 and Mac OS X Server v10.4.5, iChat now uses Download Validation to warn of unknown or unsafe file types during file transfers.

Opvallend is dat er in totaal 17 veiligheidslekken gedicht zijn, waarvan 4 in Safari.

Na het updaten, opnieuw opstarten en het terug aanvinken van het beruchte checkboxje in de Safari preferences krijg ik nu de volgende waarschuwing:

heise.jpg may contain an application.
The safety of this file can not be determined. Are you sure you want to download "heise.jpg"?
               (Cancel) (Download)

(Bewerkt door BuzzE om 8:03, 2-03-2006)