[img=right]http://www.macfreak.nl/~redactie/static/gevaar.gif[/img]Met de recente berichten over virussen, worms en Trojaanse edeldieren lijkt er op dit moment wel een ware hoos aan het ontstaan te zijn op het ontdekken van lekken in Mac OS X. Ditmaal waarschuwt het Duitse Heise.de ons, en nu eens terecht, voor een serieus lek in Safari, die in onze ogen vele malen ernstiger is dan de eerder genoemde worms. Het betreft een script dat het mogelijk maakt om via Safari een terminal sessie te openen en opdrachten uit te voeren via de terminal.

De truc schijnt 'm te zitten in de wijze waarop een shell script is opgeslagen in een ZIP archief verpakt als JPG of MOV bestand (maar andere bestandsformaten zijn ook mogelijk!), zonder de zogenaamde shebang regel, die bepaalt hoe het shell script uitgevoerd dient te worden. Wanneer deze regel niet is toegevoegd aan het script, herkent Safari het bestand niet langer als potentieel gevaarlijk en voert de opdrachten in het shell script uit, zonder enige voorafgaande waarschuwing.

Zelfs wanneer je het bestand download (zonder automatisch te openen) en vervolgens uitpakt, wordt het shell script alsnog uitgevoerd. Alleen via "Get Info" (Apple+I) kun je controleren met welke applicatie het bestand geopend wordt.

Op de website van Heise.de is tevens een demonstratie te vinden van het gevaarlijke script. Dit voorbeeld is echter onschuldig en doet  niets meer dan een "ls" opdracht uitvoeren, gevolgd door een "echo". In de praktijk kan er natuurlijk van alles in het script geplaatst worden wat wél schade aan kan richten aan je systeem.

Om te voorkomen dat dit automatisch gebeurt adviseren wij tot die tijd om in de voorkeuren van Safari de optie "Open veilige bestanden na downloaden" uit te schakelen, of  door tijdelijk Camino of FireFox te gebruiken. En nu maar hopen dat Apple dit lek zo snel mogelijk dicht!

Om voortaan duidelijk aan te geven hoe gevaarlijk de worms, virussen, Trojans en lekken zijn gaan wij werken met een classificatie, aangeduid door een icoon.


Pas op, potentieel gevaar!



Waarschuwing, zeer gevaarlijk!

Note: Het betreft hier voor alle duidelijkheid GEEN virus maar een lek ik het OS, want virussen zijn er niet voor de Mac! Al willen de makers van anti-virus software (die commerciële belangen hebben en graag hun software willen verkopen aan een geheel nieuwe doelgroep (lees Mac gebruikers)) ons anders doen geloven.

Met dank aan Wouter en Calvin voor de achtergrondinformatie

Het lijkt inderdaad waarheid te worden: OS X moet zich bewijzen als "grote jongen" onder de besturingssystemen. Niet dat ik me daar echt zorgen over maak; de basis is goed. Apple zal er bovenop moeten blijven, maar ik ben er zeker van dat ze dat doen.

Tegelijk moeten we zorgen dat we ons als gebruiker slim gedragen. Ik geef eerlijk toe: tot nu toe werkte ik vaak onder een administrator-account. Vandaag toch maar even aangepast. Zo kan een kwaadwillend programma nooit meer schade aanrichten dan ik zelf zou kunnen (als niet-admin zijnde).

Korte handleiding voor iedereen die dit ook wil aanpassen:
- ga naar de systeemvoorkeuren en kies 'accounts'
- maak een nieuw account met het plusje en geef deze een naam en wachtwoord die je kunt onthouden.
vink het vakje aan 'gebruiker mag deze computer beheren'
- selecteer nu je eigen, dagelijkse account.
- vink het vakje 'gebruiker mag deze computer beheren' uit.

De bedoeling hiervan is, dat een programma dat je per ongeluk start, of wat stiekum binnenkomt, niet te diep in het systeem kan ingrijpen. Dit programma zal immers alle rechten hebben die jij hebt.

Als je nu toch belangrijke zaken wilt doen, zul je worden gevraagd om de naam en wachtwoord van een beheerder. Dan voer je dus de gegevens in van de gebruiker die je aan hebt gemaakt voor dat doel.

Ik heb het vanochtend ook zitten lezen en uit laten voeren. Er was al eens een soortgelijke bug uitgekomen. Ik denk een jaar geleden met Safari en de helper. Bijvoorbeeld hier geven ze ook al aan om de "open safe files" uit te zetten: http://8help.osu.edu/1600.html

Dus als ik het goed begrijp zijn het alleen jpeg en mov bestanden die zijn gezipt...?

Dus als je een gezipt jpg of mov bestand tegen komt kan het een gevaar zijn. Dat is te onthouden want het is volgens mij n.l. niet logisch jpg-bestanden te zippen... daar dit bijna geen verschil in grootte geeft. Ik kom eigenlijk ook nooit gezipte mov-bestanden tegen, dus duimen...

In theorie zou het volgens mij met vele bestandsformaten mogelijk
moeten zijn, maar dat zou ik uit moeten testen. Opgepast dus!

Eigenlijk is dit gewoon een door-evolutie van Oompa en Helper -> maak een shell scriptje wat je eerst poogt automagisch te laten runnen door de browser. Werkt dat niet, dan vermom je het nog eens als JPG/MOV om zo de gebruiker er op te laten klikken.

Echter! OS X zelf heeft wel degelijk door dat het gaat om shell script!

Als je in Finder naar de kolom "Kind" bekijkt staat er toch duidelijk "Terminal document" of iets vergelijkbaars. Op die fiets kan je alsnog zien dat het geen goede file is

Zoals op vele fora al word gezegd ben ik er een voorstander van de Apple iconen van executables ook als zodanig markeert. Aliassen en sym-links krijgen al automatisch dat kleine pijltje links onderin. Dus waarom ook niet zoiets voor executables? Dat zal wel wat problemen voorkomen...

Leon om 11:46, 21-02-2006
In theorie zou het volgens mij met vele bestandsformaten mogelijk
moeten zijn, maar dat zou ik uit moeten testen. Opgepast dus!

Dat is het juist het punt! Het script word helemaal niet in iets van een bepaald bestands type gezet!

Het is in OS X triviaal om een bestand de extensie ".JPG" te geven en om daar ook nog eens het standaard icoontje voor .JPG files aan te hangen. Maar dat maakt  het nog steeds geen jpeg Zo kan je op die manier het script zich voor laten doen als _elk_ bestandsformaat. Als de eindgebruiker er maar in trapt.

De makkelijkste manier om dit soort linke files te herkennen blijft de "Kind" kolom in Finder. Die geeft betrouwbaar aan wat voor bestand het betreft.

EDIT:
Oh... Het heet trouwens niet de "shebang" regel, maar de "hashbang" regel

Uitleg: de eerste regel van een shell script geeft doorgaans aan met welke shell het dient te worden gerunt. Bijvoorbeeld "#!/bin/bash" verwijst naar de Bourne Again Shell. Die "#!" zijn de "hash" en "bang". Vandaar "hashbang".


EDIT2:
I stand corrected Leon

(Bewerkt door Cailin Coilleach om 11:59, 21-02-2006)

Maar shebang mag ook. Zie Wiktionairy.org.

shebang, English, Noun

The character string "#!" used at the beginning of a computer file to indicate which interpreter can process the commands in the file.

Plaatje:
gevaarijk!

Whoops, bedankt    

The times they are a changing, zong Bob Dylan al zo veel
jaar geleden. Bij mij moet voor alles wat ingrijpt in het
systeem of installatie een wachtwoord ingevoerd worden.
Je vraagt je wel af wanneer Safari eens een echte browser wordt.  

Nou.... het gaat dus beginnen?! Einde aan de rust die we sinds de AutostartWorm van mei 1998 hebben gehad?

Toch een beetje jammer hoor, al wist ik zeker dat het zou gebeuren.... dag 8 jaar van luxe...



grtz, MM

Ouch, slecht nieuws. Ik heb Camino nu gedownload, maar het gebruik ervan is nog erg onhandig omdat ik al m'n bookmarks in Safari heb. Is er een manier waarop ik die bookmarks in Camino kan laden? In Firefox was er wel zoiets, maar Firefox gaat erg langzaam in mijn g3'tje..

waar kan je dat instellen dan..' open veilige bestanden na downloaden"   ?

In je voorkeuren Bart. Ik zal het voor de duidelijkheid nog even in het nieuwsbericht zetten!

@MacMiep; Kijk, dat er een tijd komt waarbij we met virussen geconfronteerd gaan worden staat vast. Is het niet dit jaar, dan misschien wel het jaar daarop. Het is alleen de vraag wat Apple er aan doet om de status van "zeer veilig OS" vast te houden door het OS nóg veiliger te maken dan het al is. Apple reageert gelukkig over het algemeen vrij snel door security updates uit te brengen. Dat scheelt weer.

In tegenstelling tot Windows, die veel overlaat aan de virus scanners, probeert Apple het OS zelf zo vellig mogelijk te maken. Met de miljoenen regels code die het OS bevat zal er altijd wel ergens een lekje zitten. Dat is onoverkomelijk. Wellicht dat deze "explosie" van drie meldingen, waarvan er een al héél snel door Apple is opgelost, het directe gevolg zijn van PC gebruikers die niets beters te doen hebben dan met hun gehackte Intel versie van OS X dit soort dingen te schrijven en ontdekken, want sinds OS X voor Intel lijkt het erger te worden. Onder de streep kan het geen kwaad en zullen we uiteindelijk straks van een nog veiliger OS kunnen gaan genieten. We moeten onszelf alleen bewuster worden van het feit dat ook wij niet zullen ontkomen aan dit soort grappen. Maar of wij ooit met honderdduizend virussen geconfronteerd zullen worden....

mvdg om 12:18, 21-02-2006
Het lijkt inderdaad waarheid te worden: OS X moet zich bewijzen als "grote jongen" onder de besturingssystemen. Niet dat ik me daar echt zorgen over maak; de basis is goed. Apple zal er bovenop moeten blijven, maar ik ben er zeker van dat ze dat doen.

Tegelijk moeten we zorgen dat we ons als gebruiker slim gedragen. Ik geef eerlijk toe: tot nu toe werkte ik vaak onder een administrator-account. Vandaag toch maar even aangepast. Zo kan een kwaadwillend programma nooit meer schade aanrichten dan ik zelf zou kunnen (als niet-admin zijnde).

Korte handleiding voor iedereen die dit ook wil aanpassen:
- ga naar de systeemvoorkeuren en kies 'accounts'
- maak een nieuw account met het plusje en geef deze een naam en wachtwoord die je kunt onthouden.
vink het vakje aan 'gebruiker mag deze computer beheren'
- selecteer nu je eigen, dagelijkse account.
- vink het vakje 'gebruiker mag deze computer beheren' uit.

De bedoeling hiervan is, dat een programma dat je per ongeluk start, of wat stiekum binnenkomt, niet te diep in het systeem kan ingrijpen. Dit programma zal immers alle rechten hebben die jij hebt.

Als je nu toch belangrijke zaken wilt doen, zul je worden gevraagd om de naam en wachtwoord van een beheerder. Dan voer je dus de gegevens in van de gebruiker die je aan hebt gemaakt voor dat doel.

Is dit noodzakelijk? Als je als admin werkt vraagt ie bij 'diepere' handelingen toch ook altijd om het wachtwoord? Of is dat dan toch te omzeilen of zo.

tis wel erg jammer dat het kan gaan gebeuren. En ik zit iedereen wijs te maken op school dat er geen
virussen zijn voor Mac

Ik heb het geprobeerd,  maar enige wat ie bij mij roept is dat het een beschadigd of onbekend bestand is?
Zit een jpg file in,  en voorvertoning probeert die te openen.

ps bij mij staat automatisch openen ALTIJD uit.
Dus ik UNZIP het met de hand,  en dan komt er dus een JPG bestandje uit.

No problemo hier dus.
Wik

Bij mij staat "automatisch openen" uit en volgens mij is dat ook de default instelling. Ik vertrouw erop dat het gat snel gedicht gaat worden.
Teveel van dit soort berichten in te korte tijd zijn geen beste reclame voor OSX. We zullen het er maar op houden dat er bij OSX slechts een handjevol virussen/wormen/lekken zijn ipv de honderduizenden die in Windows zitten. Ik snap ook wel dat ze bij Apple nooit actief reclame hebben gemaakt voor OSX als een virusvrij OS, want dat zou natuurlijk vragen om moeilijkheden zijn.

Gmid om 12:12, 21-02-2006Is dit noodzakelijk? Als je als admin werkt vraagt ie bij 'diepere' handelingen toch ook altijd om het wachtwoord? Of is dat dan toch te omzeilen of zo.

Dat hangt er vanaf welke handeling en hoe je sleutelhanger ingesteld staat.
Om zeker te zijn dat bij "admin achtige" handeling altijd gevraagd wordt, kun je beter niet in een admin-account werken. Is ook nergens voor nodig, je kunt immers altijd door het invoeren van het wachtwoord alsnog zo'n actie uitvoeren.

imacjeroen om 12:15, 21-02-2006
tis wel erg jammer dat het kan gaan gebeuren. En ik zit iedereen wijs te maken op school dat er geen
virussen zijn voor Mac

Er zijn ook nog geen virussen voor de Mac. Wel Worms (wat feitelijk slimme programmatjes zijn die enige interactie met de gebruiker vragen) en veligheidslekken in het systeem waar dit bericht over gaat. Je kunt dus nog steeds met een gerust hart aan je schoolmaatjes vertellen dat er GEEN virussen zijn voor de Mac, al willen de makers van anti-virus software (die commerciële belangen hebben en graag hun software willen verkopen aan een geheel nieuwe doelgroep (lees Mac gebruikers)) ons anders doen geloven.

Ik het haal het nog maar even... Mac OS X kent GEEN virussen!!!!

@ Wikje: Als je dat 'Automatisch Openen' uit hebt staan dan heb je ook geen probleem en zal Preview/Voorvertoning (of welk programma dan ook, bij mij opent Photoshop mijn jpegs) natuurlijk een fout geven want het is helemaal geen plaatje.
Maar ik hoop dat Apple dit snel repareert, want ik houdt wel van dat automatisch openen

Vorige keer dat er zo'n gaatje gevonden werd kwamen ze trouwens ook vrij snel met een aanpassing. Maar zou wel leuk zijn als ze bij Apple zelf hier wat actiever mee omgingen...

Wat ik niet snap is waarom bij jullie Preview/Voorvertoning aan de slag gaat met die file. Bij mij (zoals ik al eerder zei) herkent Tiger netjes dat het een shell script is.

Dubbelklik ik er op dan opent ze het script in Terminal. En dus niet in voorvertoning/preview.

OS X gebruikt ook niet de extensie om te bepalen welke app word gebruikt voor het openen, maar spul uit de metadata... Voor zover ik weet.

Tiger 'herkent' volgens mij niet eens dat het een shell script is. Daar zit nou juist de zwakke plek. Safari/Tiger herkent blijkbaar alleen shell scripts met een #!-regel aan het begin.

De maker heeft het tekstbestandje gewoon de .jpg extensie meegegeven, in de Resource Fork aangegeven dat het met Terminal geopend moet worden en in de Resource Fork het jpeg icoontje gestopt. Bovendien heeft hij de executable bit aangezet.

Die executable bit en het openen met Terminal.App zijn beide zaken waar een toekomstige security update van Safari op zou kunnen controleren.

@Leon,

pffffff is ben blij!