» »

Resna varnostna pomankljivost v Mac OS X

Resna varnostna pomankljivost v Mac OS X

ZDNet - Zdnet poroča, da je bila odkrita resna varnostna pomankljivost za Mac OS X.

O obisku zlonamerne spletne strani namreč OS X v nekateri primerih samodejno zažene shell skripto (tudi znotraj ZIP datoteke). Pri Heise online so pripravili tudi demonstracijo. Nezaščitenim uporabnikom OS X se ob kliku na povezavo samodejno (brez opozorila) odpre terminalsko okno. Seveda bi bilo mogoče zlonamerno kodo spremeniti tudi tako, da bi namesto odprtja terminala pobrisala datoteke ali kaj podobnega, npr. zagnala kalkulator.

Za razliko od pred kratkim odkritega virusa Leap.A, ki ga je moral uporabnik sam zagnati, je za izrabo najnovejše varnostne pomankljivosti dovolj, da uporabnik le obišče zlonamerno spletno stran.

Zaenkrat se uporabniki lahko zaščitijo tako, da v brskalniku Safari onemogočijo možnost samodejnega odpiranja "varnih" datotek po prenosu, oziroma uporabijo alternativne brskalnike (Camino ali Firefox).

Na novico nas je opozoril OwcA.

33 komentarjev

mujek ::

Sem probal če to deluje.... V firefoxu se mi nic zgodilo - ponudil mi je da shrani zip arhiv. Ko sem ga pa probal razpakirat pa mi je vrnilo napako - a arhiv je bil razpakiran. Ko sem _sam_ zagnal odzipano datoteko pa mi je zagnal terminal...
V Safariju pa se zgodi kot opisano.

Zgodovina sprememb…

  • spremenilo: mujek ()

Rhuantavan ::

Bullshit, to je res varnostna luknja ampak luknja v brskalniku Safari in ne v samem operacijskem sistemu... ccc.
http://damjanmozetic.si

klemen22 ::

Kakšen bullshit, pač varnostna pomankljivost. Sprijaznite se da OSx ni vsemogočen. Še manj bo ko/če ga bo uporabljalo več folka.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

drola ::

A ne temelji MacOS na Unixu (Darwin) ?

Torej ta skripta ki se zažene pod navadnim uporabniškim računom ne more storiti resne škode v sistemu (razen če jo zažene root).
https://drola.si

Road Runner ::

jah še vedno ti lahko briše kup stvari (tvoji dokumenti...)

problem tegale pa je, da ima file označeno naj se odpre v programu terminal, namesto v preview kot vse ostale .jpg datoteke, tako da ko ga dvakrat klikneš sistem reče terminalu naj ga odpre, ta pa ga tretira kot text file in izvede ukaze ki so zapisani notri.
http://dusan.fora.si/blog/ (742617000027)

Rhuantavan ::

Ne pravim, da je OSX vsemogočen. Pravim pa, da novica zavaja folk, ker je to luknja v safariju in ne OSX-u, alrighty?
http://damjanmozetic.si

BoLhCa ::

Heh, Microsoftovi Windowsi pa s tem nimajo problema...:\

Poldi112 ::

Pri MS je browser v bistvu OS...
Where all think alike, no one thinks very much.
Walter Lippmann, leta 1922, o predpogoju za demokracijo.

klemen22 ::

Čista tema za flejmanje.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

Road Runner ::

Rhuantavan: ni res. fora je samo da safari ti sam odpre sliko, še vedno pa ti lahko zlowdaš neko sliko, lepo .jpg, ikonca tut kaže da je slika, jo hočeš odpret in se zažene shell skripta
http://dusan.fora.si/blog/ (742617000027)

simnov ::

mislili so da je kao varen ker se noben heker ni spravljal nanj

opeter ::

Varnost, prijaznost, stabilnost in uporabnost so izrazi, kateri niso vedno v prijateljstvu... Ma, mene ne briga.
Imam naložen Virex, vklopljen požarni zid, iz stene sem potegnil ADSL kabel, zdaj pa naj pride, če hoče! :D

Saj vem, da se da podatke poslati tudi po normalnem (električnem) kablu, ampak to je že druga zgodba.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

Zgodovina sprememb…

  • spremenil: opeter ()

RejZoR ::

Oh joj, kakšne zganjate. Če človeško telo kot stroj narejen po več miljonov let evolucije ni imun na napake v "kodiranju" in zunanje škodljivce, kako boste pol pričakoval da bo tehnologija stara dobrih recimo 30 let delovala vsaj blizu popolnosti. Luknje so in bojo, pa nej bo to Jabolko, Pingvin al pa Polkna, zarad mene lahko še Ananas in Breskva ter Vrata, če hočete.
Sam jemljem zadevo kot samoumevno (tko kot prehlad če skačeš sred zime v kratkih rokavih).
Angry Sheep Blog @ www.rejzor.com

MrStein ::

jah še vedno ti lahko briše kup stvari (tvoji dokumenti...)

Kar nas vrača h vprašanju : Zakaj ima browser (in zadeve, ki jih z mreže potegne) pravico gledat in celo spreminjat/brisat mojo diplomsko nalogo ?

Glih microsoft dela prve korake za rešitev tega problema.

OK, SELinux dela isto in je zunaj že več let, ampak naj dvigne roko tisti, ki uporablja SELinux ?
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Road Runner ::

saj je nima browser. browser sporoči sistemu naj odpre file ki si ga downloadal, sistem pa potem ima dostop do tvoje diplomske naloge.
http://dusan.fora.si/blog/ (742617000027)

Matevžk ::

Hm, zanimiva teorija ... če browser zažene nek proces, ki ga je celo sam nasnel na računalnik, ta pri izvajanju na noben način ne more imeti višje pravice kot browser. Torej ima browser pravico brskati po dokumentih.
Seveda, in zakaj jo ima? Ker od časa do časa želiš odpreti tudi kakšen HTML izmed svojih dokumentov ali pa tvojo seminarsko nalogo kam uploadati ...
lp, Matevžk

MrStein ::

Ja seveda. Ker od časa do časa opravim veliko potrebo, bom skoz s spuščenimi hlačami okoli hodil ?
Sicer pa z drag&drop akcijo ali pa z uporabo file dialoga explicitno povem sistemu, da bi rad ta fajl odprl v browserju, in mu lahko (izjemoma) dovoli dostop. Da pa bi dovolil kar tako dostop do vseh mojih fajlov... je isto kot golorit okoli hodit.

Ja, spremembo naredit je težko. Razumem. Upor proti spremembi na boljše pa ne razumem ;)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Zgodovina sprememb…

  • spremenil: MrStein ()

Matevžk ::

No, govoril sem o obstoječih sistemih. Vsekakor je tvoja ideja tisto, proti čemer moramo stremeti! :))
lp, Matevžk

CCfly ::

Novell AppArmor
"My goodness, we forgot generics!" -- Danny Kalev

mathjazz ::

Safari je del OS X. In luknja v Safariju je luknja v OS X, tako kot je luknja v IE luknja v Windows. Keksy.
www.getfirefox.com

Road Runner ::

ja dostop do fajla ki ga zlowda pa že more met ane? kako ga bo drugač napisu na disk? in ko ga zlowda dodatno še pač reče "ej sistem odpri tale fajl" potem naprej pa nima več browser nič kle, s čim se bo odprl itd.
http://dusan.fora.si/blog/ (742617000027)

Matevžk ::

Racer D, ampak odpre se s pravicami, ki jih ima browser. In če ima browser pravico brisati/popravljati/brati tvoje datoteke, ima potem tudi ta zagnana datoteka (skripta ali karkoli že je). Če browser teh pravic ne bi imel, jih tudi skripta ne bi imela in potem ne bi bila zares nevarna, še več, sploh je ne bi bilo, ker se pisec ZlobneKode ne bi lotil pisanja skripte, ki ničesar ne more narediti.
lp, Matevžk

Road Runner ::

odpre se s pravicami ki jih ima user na mašini. torej če si admin je lahko bolj škodljivo kot če si navaden user, tud če je isti browser.
http://dusan.fora.si/blog/ (742617000027)

Matevžk ::

Logično ...
Seveda načeloma lahko browser zaganjaš kot drug uporabnik (z, recimo, samo pravico branja tvojega home direktorija, ne pa tudi pisanja).
lp, Matevžk

zimurg ::

...nč nouga to so vindousi mel že zdauni

klemen22 ::

No ja če ne druzga se je pokazalo da OSx le ni od boga poslan.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

poweroff ::

Hja, en bogi virus in en exploit v enem letu - v okolju Windows pa med tem časom...
sudo poweroff

Matevžk ::

...nč nouga to so vindousi mel že zdauni

Mora nekdo začet, ane?
To so Unix sistemi imel že preden so Windowsi obstajal, da ne omenjam, kdaj so Windowsi začel ločevat uporabnike (razen za namen pravic pri sharingu) ...
lp, Matevžk

klemen22 ::

Hja, en bogi virus in en exploit v enem letu - v okolju Windows pa med tem časom...

Verjem da če bi imel Apple 90% tržni delež se bi zagotovo pojavila marsikatera pomankljivost v OSxu.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)

Matevžk ::

Dokaži >:D.
lp, Matevžk

lorenz ::

28.02.2006 : Je ze pokrpano , zdaj pa primerjajte odzivnost Apple in MS

Road Runner ::

slab teden... se skor lahk primerja s tistimi par minutami v opensource svetu :))
http://dusan.fora.si/blog/ (742617000027)

klemen22 ::

Je ze pokrpano , zdaj pa primerjajte odzivnost Apple in MS

Neki istga.
Motiti se je človeško, odpuščati pa božje. Torej ti odpuščam ;)


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

V enem izmed Ubuntujevih neuradnih ohranjevalnikov zaslona najdena zlonamerna koda (strani: 1 2 )

Oddelek: Novice / Varnost
748562 (6370) Ales
»

Psyb0t - zlonamerni črv, ki napada Linux mrežno opremo

Oddelek: Novice / Varnost
335394 (3559) Azrael
»

MacBook Air prvi padel (strani: 1 2 3 )

Oddelek: Novice / Varnost
12416925 (10773) poweroff
»

Adobe potrdil nepopravljen backdoor v PDF datotekah

Oddelek: Novice / Varnost
154321 (3076) denial
»

Dvojni standardi pri kritiziranju varnosti operacijskih sistemov?

Oddelek: Novice / Varnost
262680 (2680) Microsoft

Več podobnih tem