Als systeembeheerders een OS de rug toekeren alleen om een lek of virus dan hadden ze allang Windows afgeschreven.

Gewoon die setting uitschakelen. Naar mijn mening sowieso een domme setting: het browsen wordt onderbroken omdat Safari/osX/whatever zo nodig iets moet openen/uitvoeren! Nogmaals mijn mening. Deze setting gaat bij mij dus altijd als eerste uit. Ik vergelijk de computer altijd met een huis: als je op de deurbel drukt, gaat de voordeur toch ook niet automatisch open!

Er zou in feite een soort van quarantaine gemaakt moeten worden voor bestanden die 'van buiten' komen. Of een soort van extentie check: als er bijvoorbeeld .jpg aan het eind van de naam staat het os dan 'weet' dat dit bestand niet met Terminal geopend dient te worden en een duidelijke waarschuwing geeft.    

Bij mij werkt de truc blijkbaar niet via een .jpg. Die is namelijk gekoppeld aan Photoshop (welke er niets mee kan). 'open veilige bestanden' stond dan wel uitgeschakeld, maar dat maakte dus even niets uit.

Het lijkt mij trouwens niet heel erg moeilijk om dit lek te dichten. Enerzijds door in Safari aan te passen (m.b.v. restricties) wat dan wel 'veilige bestanden' zijn om te openen. Anderzijds alleen shellscripts uit te voeren die óók zo aangegeven zijn via de extensie (en niet als er bijv. de extensie .jpg bevat).

Wel een verdacht dom foutje dat snel verholpen moet worden.

Let wel: Met alleen je Safari preferences aanpassen ben je er niet.

Als een kwaadwillend persoon een als jpg, pdf, txt, maakt niet uit vermomd scriptje maakt, dat zichzelf aan alle personen in je adresboek mailt, kan dit zich wel eens heel snel gaan verspreiden.
En ik denk dat de meeste mac gebruikers een toegemaild pdf-je van iemand die ze goed kennen, zonder meer zullen openen. Ik wel tenminste. Ik raad dus aan om je terminal van naam te veranderen, of zoals in mijn vorige post de privileges van je terminal aan te passen.

TB om 22:16, 21-02-2006
Het lijkt mij trouwens niet heel erg moeilijk om dit lek te dichten. Enerzijds door in Safari aan te passen (m.b.v. restricties) wat dan wel 'veilige bestanden' zijn om te openen. Anderzijds alleen shellscripts uit te voeren die óók zo aangegeven zijn via de extensie (en niet als er bijv. de extensie .jpg bevat).

Je eerste suggestie (Safari aanpassen) is de enige juiste. Want dat hele concept van extensies bestaat niet op UNIX systemen, het is afkomstig uit MS-DOS en Windows. Mac OS X maakt er een beetje halfslachtig gebruik van om compatibel genoeg te zijn met beiden. Op een UNIX systeem mag je al je files, dus ook je shell scripts noemen zoals je wil. Dus als een filenaam eindigt op .jpg mag dat op een UNIX systeem zoals OS X ook best een shell script zijn. Dat is op zich geen veiligheidsprobleem en om compatible te blijven met andere UNIX-achtigen moet daar ook niets aan veranderd worden.

Je moet je als Mac gebruiker gewoon beseffen dat icoontjes in de Finder en bestandsextensies niets meer als versieringen en geheugensteuntjes zijn. Daar kunnen mensen mee knoeien wat ze willen. Voor de werking van het besturingssysteem betekenen ze verder vrij weinig.

Tip: Safari-veiligheidsprobleem voorlopig oplossen.

Vraag jezelf af hoevaak je de Terminal nou eigenlijk gebruikt. De meeste Mac gebruikers waarschijnlijk zelden.

Comprimeer het programma Terminal als b.v. zip-bestand.
Gooi het origineel weg en leeg prullemand.
Probleem opgelost.

Als je incidenteel de Terminal nodig hebt, pak het Zipje uit; gebruik het programma; gooi het daana weer weg (leeg prullemand). Je hebt immers het Zipje nog voor de volgende sessie.

Niet doen. In de Terminal zit helemaal geen veiligheidslek! Het lek zit in Safari. Als je verder nooit onverwachte of verdachte attachments opent en in het wilde weg gekke dingen download is dat "Open safe files" checkboxje in de Safari prefs uitschakelen afdoende.

Als je de Terminal tijdelijk uitschakelt zoals je suggereert moet je weer uitkijken of het installeren van software, software updates en security updates wel goed gaat. Uiteindelijk geeft het dus waarschijnlijk veel meer gedoe dan nodig. En bovendien beschermt het uitschakelen van de Terminal je niet tegen malware als Leap.A en dat BlueTooth ding van afgelopen week, want deze gebruiken de Terminal helemaal niet.

Je moet dus in ieder geval dat checkboxje uitschakelen. En daarnaast óf gewoon een beetje voorzichtig zijn op Internet, óf een anti-virus programma gebruiken. Laat verder de Terminal maar gewoon voor wat hij is.

Ik beweer ook niet dat er een veiligheidslek in de terminal zit. Ik probeer alleen te voorkomen dat de terminal automatisch wordt geopend en gebruikt door "derden".

De rest van de recente potentiele gevaren (de wormen e.d.) moet je natuurlijk ook mee uitkijken en voorzorgsmaatregelen treffen.

Het leek mij voor de time being een "quick en dirty" oplossing.

En verder geloof ik niet dat de terminal wordt gebruikt bij het installeren van software en updates.

Zie hier de oplossing:

http://www.macfixit.com/article.php?story=2006022111410554  

Nou, dit lijkt me een goede oplossing. Ik heb het inmiddels uitgeprobeerd. Je hoeft geen wachtwoord in te geven, je krijgt alleen een melding dat Terminal wil opstarten en je moet op ok drukken om dit goed te keuren. Het is een geavanceerde versie van mijn tip. Die was een beetje kort door de bocht.

Ik maak me wel een beetje zorgen om een reactie van een lezer van die site (ik hoop dat dit geciteerd mag worden):

If the fix relies on hiding Terminal.app by prefixing it with an underscore, and
this is made publicly available, surely any malware writer need simply adapt the
code to search for this as an alternative, and the fix is rendered useless?

Bij mij hielp het verplaatsen van de Terminal.app naar een andere lokatie...

Vreemd TB dat de file bij jou in Photoshop wil openen omdat jij dit programma als default applicatie hebt ingesteld.

Bij mij staat Preview als default ingesteld maar is het OS zo slim om te zien dat het om een shell script gaat...

Maar bij verplaatsen van Terminal.app niet meer, kennelijk is het pad wat in de eerste regel van het shellscript staat hiervoor bepalend (al is het niet geheel volgens she-bang)...

(Bewerkt door Spooter om 9:00, 23-02-2006)

hatetepe om 19:17, 22-02-2006
Ik maak me wel een beetje zorgen om een reactie van een lezer van die site (ik hoop dat dit geciteerd mag worden):

If the fix relies on hiding Terminal.app by prefixing it with an underscore, and
this is made publicly available, surely any malware writer need simply adapt the
code to search for this as an alternative, and the fix is rendered useless?

Daarom staat er ook in de bijgevoegde 'Instructions.rtf':

More secure approach:
1) Using Finder, navigate to /Applications/Utilities and rename Terminal.app to .app  where is a random name of your choice, without the angle brackets.
2) Open my workflow (Terminal.workflow) in Automator and modify the shell script command to refer to .app instead of _Terminal.app
3) Save as an Application called Terminal.app
4) Copy to /Applications/Utilities

John Gruber van Daring Fireball heeft ook een stukje over deze exploit geschreven:
http://daringfireball.net/2006/02/safari_shell_script_exploit

Hij legt op een goede manier uit op welke manieren je in OS X een bestand aan een applicatie kan koppelen. Dat heeft dus helemaal niets specifiek met shell scripts te maken, zoals Spooter suggereert.

Hij vind net als ik ook dat het verminken/verplaatsen/vermommen van Terminal.App een slecht idee is.

Inderdaad. Goed artikel. Zijn suggestie om (vanuit de kant van Apple) iets te doen waardoor de "Open with" informatie alleen geldt voor de gebruiker die het heeft opgeslagen, lijkt me heel zinnig. Dat pakt het probleem bij de bron aan. Ongetwijfeld zoekt Apple de oplossing in een soortgelijke richting. Het lijkt me een kwestie van uren/dagen voordat er een update van Apple aankomt. Even afwachten dan maar...

Ik zag net tot mijn verbazing dat de webbrowser Camino dezelfde functie heeft om gedownloade bestanden automatisch te openen als Safari dat heeft. Je kunt dit ook in de voorkeuren uitzetten, het staat ook aan bij default.

is dit dan hetzelfde veiligheidsprobleem als bij Safari?

Nee, in Camino staat die checkbox standaard uit. En bovendien opent hij als je de optie aanzet wel automatisch de zip, maar geeft hij het script vervolgens niet door aan Terminal.App. Geen probleem met Camino dus.

@ BuzzE: Waarom is het verplaatsen of hernoemen van Terminal een 'slecht idee', ik vind dat stukje op daringfireball.net goed geschreven maar hopeloos naïef (omdat Apple het maar moet oplossen en je dus in de tussentijd wèl risico loopt) en uit eindelijk niet eens kloppend.

Het probleem is n.l. dat als je het 'Open "Safe" files after downloading' uit zet je nog steeds net zo makkelijk een script om je oren kan krijgen. Het zipje van Heise.de werkt n.l. ook als je 'm later uitpakt en dubbelklikt.

Ik heb in ieder geval het scriptje van macfixit.com nu in gebruik. Better safe than sorry...

mvdg om 9:50, 23-02-2006
Het lijkt me een kwestie van uren/dagen voordat er een update van Apple aankomt. Even afwachten dan maar...

In het verleden duurde het heel wat langer voordat Apple met een oplossing kwam...

Ik ben het ermee eens dat het rommelen met Terminal.app niet de oplossing is, omdat dat niet de kern van het probleem aanpakt. Het moet gewoon niet mogelijk zijn om zomaar scripts uit te voeren die van buitenaf binnenkomen. De oplossing die wordt aangedragen werkt prima, maar grijpt naar mijn mening op een verkeerde plek in. Wat als een andere applicatie misbruikt kan worden op een soortgelijke manier? Dan moet je voor alle applicaties dit soort "workarounds" maken. Ik bedoel dus, het is geen structurele oplossing.

Het moet toch niet heel moeilijk zijn om met ELK bestand dat binnenkomt via internet het onmogelijk te maken dat dit wordt gestart? Dan pak je het probleem aan waar het zit, namelijk het uitvoeren van binnenkomende bestanden.

Ik geef meteen toe, dat is een oplossing die we van Apple moeten krijgen in de vorm van een security update. Je kunt dus best in de tussentijd andere manieren gebruiken, maar uiteindelijk moet je toch naar een echte oplossing voor het probleem.

Bijkomend effect: als mensen hun Terminal gaan hernoemen en de update van Apple is er, zijn er natuurlijk weer hele volksstammen die vergeten om hem eerst terug te noemen voor ze de update doen. Door dit soort aanpassingen creëer je bij veel mensen misschien wel meer problemen dan dat je oplost.

[edit]
Fool je hebt gelijk dat Apple niet altijd even snel is geweest, met name met dingen waar geen echte exploits voor waren. Dit is echter iets wat zo simpel is om te misbruiken en wat zoveel risico oplevert dat ik denk dat ze geen keus hebben dan alle prioriteit hieraan te geven. Al helemaal door alle media-aandacht die het heeft gehad.

(Bewerkt door mvdg om 11:38, 23-02-2006)

Fool: Omdat je gewoon moet uitkijken waar je op dubbelklikt!! Ik zal proberen het nog een keer uit te leggen:

Een kwaadwillende kan ook gewoon een binary executable vermommen als .jpg, dat wisten we al lang en dat hebben we recent bij Leap.A in de praktijk gezien. Dus de Terminal verminken helpt wel tegen het heise.jpg scriptje (waar trouwens nog geen slechterik gebruik van heeft gemaakt). Maar het helpt dus absoluut helemaal niets tegen malware in het algemeen, en werkelijk bestaande kwaadwillende programma's als Leap.A in het bijzonder.

Het is dus juist heel erg naïef om je veilig te voelen als je Terminal verstopt of verminkt. Je denkt dan misschien dat je weer op alle (al dan niet gezipte) .jpg's vrolijk kan gaan dubbelklikken, maar dat is dus absoluut niet waar!!
Je loopt daarmee bovendien juist de kans dat Software en Security Updates van Terminal.App je ontgaan!

Het enige nieuwe advies wat dit lek met zich meebrengt is dus het uitzetten van die 'automatisch openen' optie in Safari. Daarnaast blijft het aloude advies gewoon bestaan: open geen bestanden van Internet waarvan je de herkomst niet kent of niet vertrouwt.

Als je dat gewoon doet biedt het verbergen van de Terminal geen extra veiligheid en brengt het verder alleen maar kwalijke gevolgen met zich mee.

(Bewerkt door BuzzE om 12:27, 23-02-2006)

Het lijkt me achteraf inderdaad beter om Terminal gewoon terug te zetten waar het stond i.v.m. de komende updates.

(grappige uitspraak trouwens: better save then sorry...)

't Zou toch wel fijn zijn als Apple zelf wat tijdelijke oplossingen voor dit probleem aanbiedt, zoals opties uitvinken, etc. Er worden nu zoveel oplossingen aangedragen op verschillende sites en fora dat ik door de bomen het bos niet meer zie.

Als gemiddelde gebruiker heb ik nog nooit gerommeld in (of met) de Terminal bijvoorbeeld, ben ook niet van plan dat nu te gaan doen. Is het uitzetten van die Safari-optie echt afdoende? Of moet iedere Safari-gebruiker nu ook een andere browser gaan gebruiken.

tangy: Het uitvinken van die optie is echt afdoende.

En daarnaast natuurlijk zoals altijd gewoon een beetje opletten dat je geen onverwachte vreemde attachments in de e-mail of de chat krijgt, en dat je geen dubieuze bestanden van het web plukt. Maar dat was voor dit Safari lek al nodig, en zal als dit lek gedicht is ook nodig blijven.

Nee hoor tangy als je die optie uitvinkt kun je rustig Safari blijven gebruiken.

Je moet wel uitkijken waar je allemaal op dubbelklikt als het uit onduidelijke bron komt.
Maar dat moest je altijd al. Het is altijd mogelijk om een Applescript te schrijven dat je
home directory wist en dat naar iemand op te sturen. Daar kan geen veiligheidscheck
tegenop.