Safari sårbar
Dag Tore Antonsen
Knut Skrindo
> Auda:
>
> http://www.heise.de/english/newsticker/news/69862
«Problems ensue if a shell script is stored into a ZIP archive without
the so-called shebang line. If this line is omitted, Safari no longer
recognizes the content as potentially dangerous and executes shell
commands without a confirmation prompt.»
Jo, den var faktisk litt kjip.
--
Knut Skrindo
Espen Vestre
> «Problems ensue if a shell script is stored into a ZIP archive without
> the so-called shebang line. If this line is omitted, Safari no longer
> recognizes the content as potentially dangerous and executes shell
> commands without a confirmation prompt.»
Urk, Safari-programmerne godtar jo filer ut fra kun extension og
overlater til OS-et å åpne dem, det var virkelig på høyde med det
sløveste fra Micorsoft :-(
--
(espen)
Terje Rydland
Men hvis du slår av "Automatisk åpning av sikre filer" i Safaris
valgdialog, blir disse ikke automatisk utført.
Men dette er dessverre slått på som default.
Terje
Espen Vestre
> Men hvis du slår av "Automatisk åpning av sikre filer" i Safaris
> valgdialog, blir disse ikke automatisk utført.
> Men dette er dessverre slått på som default.
Det er jo egentlig en brukbar feature. Problemet er jo hvor hjerne-
dødt det er implementert.
--
(espen)
Øyvind Segrov
Dag Tore Antonsen wrote:
> Auda:
>
> http://www.heise.de/english/newsticker/news/69862
Uffda.
Heldigvis har Camino blitt minst like bra som Safari:)
Jardar Eggesbø Abrahamsen
skreiv Dag Tore Antonsen <d.t.an...@usit.uio.nospam>:
> http://www.heise.de/english/newsticker/news/69862
Urk.
sudo schmod o-x /Applications/Utilities/Terminal.app
So spørst det kor lang tid det tek før nokon spesifiserer iTerm i staden.
Jardar
Jardar Eggesbø Abrahamsen
skreiv Jardar Eggesbø Abrahamsen <jardarab+n...@pvv.ntnu.no>:
> schmod
(Den var fin. Han vert jo uttala slik.)
Jardar
Terje Rydland
> Espen Vestre <es...@vestre.net> wrote:
> > Urk, Safari-programmerne godtar jo filer ut fra kun extension og
> > overlater til OS-et å åpne dem, det var virkelig på høyde med det
> > sløveste fra Micorsoft :-(
>
> Men hvis du slår av "Automatisk åpning av sikre filer" i Safaris
> valgdialog, blir disse ikke automatisk utført.
> Men dette er dessverre slått på som default.
Det slo meg nå, når jeg ser det i sammenheng med din kommentar om "det
sløveste fra MS", at dette kanskje nettopp har sammenheng med MS.
Mange setter likhetstegn mellom brukervennlighet og mangel på
brukerinvolvering. Det betyr at hvis noe skjer automatisk er dette
brukervennlig. Det er vel ofte argumentet for at ting er slått på som
default i Windows.
Vi møter det når vi klager på at NRK krever Windows Media Player for å
se nettTV. Det er det som er standard (og automatisk slått på) i
Windows, og dermed må man bruke WMP for at brukerne skal få det til å
virke "fordi det er så brukervennlig".
For meg er dette heller en indikasjon på at systemet er såpass
"brukeruvennlig" at man ikke stoler på at brukeren kan klare å utføre
de(n) aktiviteten(e) som trengs.
Den fellen har vel Apple også falt i i dette tilfellet.
Jeg mener at noe er brukervennlig når det er lett å forstå hvordan det
virker, og at det er lett å utføre aktiviteten (forutsetter at det er en
aktivitet som skal utføres).
Når noe gjøres automatisk krever det ingen brukerinteraksjon og da er
det meningsløst å snakke om brukervennlighet.
Terje
Dag Tore Antonsen
Man bør inntil videre slå av automatisk åpning av filer via GUI, eller
via kommandolinja sånn:
defaults write com.apple.safari AutoOpenSafeDownloads 0
Men, dette gjelder da bare for den brukeren som kjører dette. Kan man
fikse dette til å bli sånn for alle brukere - eks ved å flytte
com.apple.Safari.plist til /Library/Preferences, tro?
Dag Øien
http://secunia.com/advisories/18963/
> Urk, Safari-programmerne godtar jo filer ut fra kun extension og
> overlater til OS-et å åpne dem, det var virkelig på høyde med det
> sløveste fra Micorsoft :-(
Feilen ser ut til å ligge i BOMArchiveHelper. Såvidt jeg skjønner er
det like farlig å dobbeltklikke på en fiendtlig .zip fil for å pakke
den opp.
.zip-filer fra kilder man ikke stoler på bør åpnes med unzip
kommandoen i Terminal inntil Apple fikser dette.
-dag
Jardar Eggesbø Abrahamsen
skreiv Dag Tore Antonsen <d.t.an...@usit.uio.nospam>:
> Man bør inntil videre slå av automatisk åpning av filer via GUI, eller
> via kommandolinja sånn:
>
> defaults write com.apple.safari AutoOpenSafeDownloads 0
Det fine med å ha automatisk opning _påslegen_ er at det kjem ei åtvaring
dersom ein lastar ned eit program (med unntak av desse skripta). Er
autoopning avslegen, kjem ikkje denne åtvaringa t.d. når ein lastar ned
Oompa-Loompa-trojanaren.
Det skulle ha vore separate innstillingar for programåtvaring og
autoopning. Då ville eg ha slege på programåtvaringa og av autoopninga.
I tillegg til at desse spesielle skripta utan shebang òg skulle ha vorte
fanga inn av den programåtvaringa. Ideelt sett skulle det vera nok å
sjekka om fila er eksekuterbar, dvs. sjekka om bit 1 i tilgangsmodus er
sett til 1 («chmod +x») for eigar/gruppe/andre.
Jardar
Jardar Eggesbø Abrahamsen
/Applications/Utilities, vil ikkje slike skript fungera. Eg prøvde nettopp
å flytta Terminal til /Applications, og skripta fungerer då _ikkje_. I
mangel av /Applications/Utilities/Terminal.app vil GUI-et prøva å opna
fila i det programmet som suffikset indikerer, t.d. QT Player for .mov.
På ei anna side er det sjølvsagt dumt dersom ein dobbelklikkar på ei
.command-fil som har suffikset sitt skjult. Då vil fila finna Terminal
same kva.
På ei tredje side... Då eg skulle prøva dette, og laga fila a.jpg.command,
fekk eg ikkje lov til å velja «skjul filendelse». Verkar som det er
umogeleg dersom det finst meir enn eitt punktum i filnamnet. Og dét var no
bra, då!
For det tyder at program som heiter filnamn.jpg, og som skal opnast i
Terminal (slikt bestemmer ein enkelt i infovindauga), so vil ikkje
systemet finna Terminal når ein dobbelklikkar på ikonet (dersom Terminal
ligg på ein uvan plass), i staden vil fila prøva å verta opna i t.d.
Preview, og det går ikkje. Dersom fila derimot heiter filnamn.jpg.command,
vil systemet finna Terminal, same kvar det programmet ligg, men samstundes
er det umogeleg å unngå å sjå at fila har suffikset .command.
OK, då flytter eg herved Terminal.app inn i
/Applications/Utilities/ei-mappe-med-eit-namn-som-berre-eg-veit-om. So kan
eg heller flytta det ut og inn etter som eg treng det.
Jardar
Øyvind Segrov
> OK, då flytter eg herved Terminal.app inn i
> /Applications/Utilities/ei-mappe-med-eit-namn-som-berre-eg-veit-om. So kan
> eg heller flytta det ut og inn etter som eg treng det.
Tusen takk, Jardar! Du er en sann Os X-superhelt!
Judith Parelie Mortensen
Jeg fant han først!
:-)
ObOnTopic: Jeg slo av den åpne automatisk-greia i Safari helt fra
starten av jeg, for jeg syntes det var så irriterende å måtte bekrefte
hele tiden jeg hadde lastet ned noe.
judith
--
Et fyselig, humsk, hyrlig, smakelig, forskammet og behøvlet tøy
med fattelig mange bønnhørlige lemper.
Jardar Eggesbø Abrahamsen
> /Applications/Utilities/ei-mappe-med-eit-namn-som-berre-eg-veit-om. So kan
> eg heller flytta det ut og inn etter som eg treng det.
Merk at Terminal.app må flyttast ut av den mappa ved system- og
tryggleiksoppdateringar, elles vil ikkje oppdateringane finna
Terminal.app. So det er noko upraktisk.
Skal verta spanande å sjå kor kjapt Apple fiksar problemet.
Jardar
Tore Nilsen
mvh
Tore
Jardar Eggesbø Abrahamsen
http://www.macfixit.com/article.php?story=2006022111410554
Eg har prøvt det, og det fungerer heilt fint. Pass berre på å flytta
Terminal.app tilbake til plassen sin før systemoppdateringar og sånt, slik
at oppdateringane finn applikasjonen.
Jardar
--------------------------------------
Make Terminal ask for permission
This is the most involved workaround, and probably the most effective. It
involves replacing the Terminal application with an automator script that
will intercept calls to Terminal and seek your permission to run Terminal
before executing.
1. First you will need to download the Automator script, created by a
MacFixIt reader, by going to the "Go" menu in the Finder, navigating to
the "iDisk" sub-menu, selecting "Other User's Folder" then typing
"pehowland" (without quotes) and pressing return.
2. Next, download the file named "Terminal.app.zip" and unstuff it. The
resulting file will be an Automator script application named
"Terminal.app" or just "Terminal" if you have file extension display
turned off.
3. Next, using the Finder, go to /Applications/Utilities and rename
Terminal.app to _Terminal.app.
4. Copy the replacement Terminal.app (the Automator script) into
/Applications/Utilities
5. Now every time a shell script attempts to launch the Terminal, the
automator script will launch instead and demand user permission before
the actual Terminal is launched.
If you want to undo this process, just delete my new Terminal.app and
rename _Terminal.app back to Terminal.app.
The author of the script writes:
"This fix works on my machine and seems completely harmless. However, use
it at you own risk - I am not responsible for any unintended side effects.
"The paranoid amongst you should also verify my script inside Automator
before installing - after all, I could just be playing a nasty social
engineering joke on you."
Jardar Eggesbø Abrahamsen
skreiv Jardar Eggesbø Abrahamsen <jardarab+n...@pvv.ntnu.no>:
> 1. First you will need to download the Automator script, created by a
> MacFixIt reader, by going to the "Go" menu in the Finder, navigating to
> the "iDisk" sub-menu, selecting "Other User's Folder" then typing
> "pehowland" (without quotes) and pressing return.
Dette fungerer fint når Finder er i engelsk språkdrakt. Men i norsk
språkdrakt får eg ein dialog som oppgjev brukarnamnet «public» og eitt
passordteikn, og eg kjem ikkje inn. Elles seier denne dialogboksen:
WebDAV-filsystemgodkjenning
Oppgi brukernavn og passord for å få tilgang til tjeneren på URLen
«http://idisk.mac.com/pehowland/Felles/» i «idisk.mac.com».
Navnet og passordet vil bli sendt over en sikker forbindelse.
Er det andre som opplever dette? Det verkar i alle fall veldig dumt.
Jardar
Dag Tore Antonsen
> Frå macfixit:
> http://www.macfixit.com/article.php?story=2006022111410554
>
> Eg har prøvt det, og det fungerer heilt fint. Pass berre på å flytta
> Terminal.app tilbake til plassen sin før systemoppdateringar og sånt, slik
> at oppdateringane finn applikasjonen.
Flott jobb Jardar - synes du har bidratt *stort* her.
Dessverre er dette foreløpig for komplisert for folk flest, så jeg er
redd for at dette kan utvikle seg til et problem hvis ikke Apple handler
raskt. Får håpe Apple tetter dette skikkelig når de først er i gang.
Kanskje de tilogmed bør slå av hele funksjonaliteten. Er det virkelig så
vanskelig for folk å laste ned på "normalt" vis? Evt kan de bli
strengere i sjekken av "safe files" og ha funksjonaliteten avskrudd pr
default i stedet for påskrudd.
Et skrekkeksempel med dette hullet er jo at man besøker en webside som
har et javascript som setter i gang en nedlasting av en fil som sletter
alle dine filer på harddisken. Så vidt jeg har forstått er dette mulig i
dag. Det finnes sikkert andre varianter og dette er vel noe jeg ikke
hadde trodd vi skulle se på Mac.
Mitt tips er derfor: Slå av "open safe files" funksjonaliteten i Safari!
Dette er vel andre gang Apple sliter med dette og det gir ikke tillit.
Min mening er at "open safe files" gir deg minimalt med fordeler. Merk
dog at det ikke er sikkert problemet begrenser seg til Safari - så vær
oppmerksom på *alle* filer du mottar.
Siste ord er nok ikke sagt ;)
Dag Tore Antonsen
>
> Er det andre som opplever dette? Det verkar i alle fall veldig dumt.
Ingen problemer - og derfor kjører jeg US system hele veien.
Filene ligger nå her:
http://folk.uio.no/dagtan/Terminal.app.zip
Tore Nilsen
Problemet gjelder også Mail, se tidligere posting og denne linken!
mvh
Tore
Tore Nilsen
> Flott jobb Jardar - synes du har bidratt *stort* her.
Støttes!
>
> Dessverre er dette foreløpig for komplisert for folk flest, så jeg er
> redd for at dette kan utvikle seg til et problem hvis ikke Apple handler
> raskt. Får håpe Apple tetter dette skikkelig når de først er i gang.
Apple arbeider visstnok med saken. Får håpe de gjør det skikkelig og
raskt. Det gir en litt ubehagelig følelse når flere slike ting dukker
opp på kort tid.
http://news.com.com/OS+X+flaw+exposes+Macs/2100-1002_3-6041685.html
mvh
Tore
Snorre Berg
Antonsen" <d.t.an...@usit.uio.nospam> wrote:
> dette er vel noe jeg ikke
> hadde trodd vi skulle se på Mac.
Det er vel ikke akkurat grisen som har grodd vinger her, er det vel?
--
SB
Espen Vestre
> Mitt tips er derfor: Slå av "open safe files" funksjonaliteten i
> Safari! Dette er vel andre gang Apple sliter med dette og det gir ikke
> tillit. Min mening er at "open safe files" gir deg minimalt med
> fordeler. Merk dog at det ikke er sikkert problemet begrenser seg til
> Safari - så vær oppmerksom på *alle* filer du mottar.
Men avslådd "open safe files" gir, som jeg forklarte min familie igår
kveld, bare en bitteliten fordel her, siden man fortsatt må holde hodet
svært kaldt når man går inn i "Nedlastinger" og dobbeltklikker på noe
der.
Fiksen for dette bør først og fremst bestå i at Apple undersøker
hvilket program som "eier" en nedlastet fil, det er der det virkelig
store hullet er i denne saken. Apple har begått den samme tabben som
Microsoft har gjort et utall ganger med Internet Exploder: En rent
syntaktisk sikkerhetsanalyse ("filnavnet slutter på .jpg, da er det
vel et bilde") som ikke tar hensyn til tolkninger som andre deler av
systemet gjør (her: at en fil i et zip- arkiv kan inneholde
metainformasjon som forteller at et helt annet program skal åpne den).
Hvis eieren er Terminal eller et annet kjent program som vil utføre
kommandotolkning ved åpning av filen, må brukeren få den sedvanlig
advarselen om at dette er et program.
Det å slå at "open safe files" kan, er jeg redd for, på sikt bare føre
til større sløvhet fra en del bruker mht. hva de dobbeltklikker på,
siden komplett ukjente ting og "safe files" blir likestilte når ingen
av dem åpnes automatisk.
--
(espen)
Keera Ann Fox
> Auda:
>
> http://www.heise.de/english/newsticker/news/69862
Dette er da gammelt nytt? Jeg slo av automatisk åpning av nedlastede
filer i Safari for minst et år siden da jeg først leste om dette.
--
Keera in Norway ~~ Think big. Shrink to fit.
http://home.online.no/~kafox/
Dag Tore Antonsen
> Dag Tore Antonsen <d.t.an...@usit.uio.nospam> wrote:
>
>> Auda:
>>
>> http://www.heise.de/english/newsticker/news/69862
>
> Dette er da gammelt nytt? Jeg slo av automatisk åpning av nedlastede
> filer i Safari for minst et år siden da jeg først leste om dette.
>
Joda, men feilen ble liksom rettet av Apple - trodde vi. Helt til nå. Og
"open safe files" er påslått pr default. Det er nå nok for en vanlig
bruker å besøke en nettside, så slettes f.eks halve harddisken. Siste
uken har det altså kommet 2 virus og ett gigantisk sikkerhetshull i OSX.
I tillegg til dette klarte Sophos å slippe en virus-oppdatering til sitt
antivirusprogram som fikk flere programmer til å knele i dag (bl.a var
MS Office på våre 850 maskiner utsatt). Heldigvis var det "bare" 5
personer som meldte fra om problemer.
Jeg skrur av "safe files" personlig
Og jeg har prøvd å finne en metode for å skru dette av på alle brukere
på alle maskiner, men jeg kom bare fram til følgende (kjøres som root)
for n in `ls /Users`; do sudo -b -u $n defaults write com.apple.safari
AutoOpenSafeDownloads 0; done
(en linje)
Fant ikke noen annen måte å skru av dette av for alle akkurat nå. Noen
som vet?
Hvor bra beskytter chmod o-rx Terminal.app/ ?
Ove Pettersen
Se:
http://lowendmac.com/lite/06/0223.html
og
http://www.wired.com/news/columns/1,70257-0.html
Ove Pettersen
bl.a. Safari (som meddelt annet sted i dette forumet). Det har vært
mange fjær og lite ull, og nå kommer mer kritikk mot AV-firmaene
(ref. linker med kritikk av Sophos som jeg har lagt ut tidligere):
- Apple-risiko er overdrevet
Analytiker refser sikkerhetsselskapene
http://www.itavisen.no/php/art.php?id=293841