[img=right]http://www.macfreak.nl/~redactie/softwareupdate.jpg[/img]Apple heeft de Security Update 2006-001 vrijgegeven. Deze wordt aanbevolen voor alle gebruikers en verbetert de beveiliging van de volgende onderdelen: apache_mod_php, automount, Bom, Directory Services, iChat, IPSec, LaunchServices, LibSystem, loginwindow, Mail, rsync, Safari en Syndication.

Om je systeem maximaal te beveiligen tegen mogelijke Trojaanse paarden zoals die recent een paar opgedoken zijn adviseren wij iedereen deze update te installeren. Wat Apple exact met deze Security Update heeft aangepast is niet bekend maar omdat ook Mail en Safari in het lijstje vermeld zijn nemen we aan dat deze update o.a. op die meldingen betrekking kan hebben.

De Security Update is 13,2 MB groot en kan via Software-update geïnstalleerd worden. Een separate installatie mag je vanaf deze pagina downloaden.

Helaas, de Heise-test (heise.de) opent nog steeds een terminal...

Als ik die test pagina open in safari krijg ik een "download programa" waarschuwing en of ik het zeker weet dat ik hem download.
Na het downloaden opent de file ook niet automatisch.
Bij het dubbelklikken start hij het script wel op.

Extra info:

Safari, LaunchServices

CVE-ID: CVE-2006-0394

Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.5, Mac OS X Server v10.4.5

Impact: Viewing a malicious web site may result in arbitrary code execution

Description: It is possible to construct a file which appears to be a safe file type, such as an image or movie, but is actually an application. When the "Open `safe' files after downloading" option is enabled in Safari's General preferences, visiting a malicious web site may result in the automatic download and execution of such a file. A proof-of-concept has been detected on public web sites that demonstrates the automatic execution of shell scripts. This update addresses the issue by performing additional download validation so that the user is warned (in Mac OS X v10.4.5) or the download is not automatically opened (in Mac OS X v10.3.9).

Oftewel, nog meer veiligheidsmaatregelen!

BOlle om 23:08, 1-03-2006
Helaas, de Heise-test (heise.de) opent nog steeds een terminal...

Dat is maar een gedeeltelijke waarheid. Deze update zet de 'Open "safe" files after downloading' weer aan maar komt dan wel degelijk met een waarschuwing:

"Heise.jpg" may contain an application. The safety of this file can not be determined. Are you sure that you want to download "Heise.jpg"?'

Misschien nog niet ideaal maar in ieder geval al een prima verbetering wat mij betreft.

Hmm, ik heb dat 'open veilige bestanden na downloaden' uit staan (want veiliger...) en krijg noppes waarschuwing

- -
Die fetten jahre sind vorbei - The Edukators

Er is dus wel degelijk bekend wat er allemaal in die update zit

http://docs.info.apple.com/article.html?artnum=303382

BOlle om 0:32, 2-03-2006
Hmm, ik heb dat 'open veilige bestanden na downloaden' uit staan (want veiliger...) en krijg noppes waarschuwing

- -
Die fetten jahre sind vorbei - The Edukators

Ja, nogal logisch. Hij checkt je bestanden dan niet.
Dus mooi weer even aanzetten of met de hand aan de slag gaan!

nou bij mij werkt de heise test niet meer hoor.
je krijgt netjes een meedeling, dit document bevat mogenlijk een programma.
als je dan op download klikt staat hij op je dektop.
als je als een blinde gaat dubbel klikken opend hij inderdaad terminal dat kan je ook zien met info.
als je probeert te openen met voor vertoning kan het natuurlijk niet.
dus gat gedicht zou ik zeggen, hebben ze mooi snel geregeld.

Ik vind het een zeer matige oplossing die de patch biedt. Ja, het lek dat je met Safari automatisch terminal programma's uitvoert is gelukkig dicht. Het grootste 'gevaar' is weg nu het automatische uit de vergelijking is gehaald. Dat is goed nieuws.

Maar, het 'Terminal-lek' bestaat nog steeds als je op een andere manier programma's download en en uitvoert. Via FTP, IRC, Instant Message, andere browser, Mail (?), Safari zonder vinkje voor 'open veilige bestanden', you name it.

Safari is 'veilig', nu de rest van het systeem nog.

Dit lijkt me ook een taak van de user.
Op een Windows systeem ga je toch ook niet lukraak elke file openen?

Gewoon je ogen openhouden en niet alles vertrouwen!