link: http://secunia.com/advisories/18963/

22. februar:

‘Michael Lehn has discovered a vulnerability in Mac OS X, which can be exploited by malicious people to compromise a user’s system.

The vulnerability is caused due to an error in the processing of file association meta data in ZIP archives (stored in the ‘__MACOSX’ folder) and mail messages (defined via the AppleDouble MIME format). This can be exploited to trick users into executing a malicious shell script renamed to a safe file extension stored in a ZIP archive or in a mail attachment.’

postoji test, zaista radi to što kaže, probajte…
http://secunia.com/mac_os_x_command_execution_vulnerability_test/

informacija se pojavila i na apple forumu:
http://discussions.apple.com/thread.jspa?messageID=1810923&#1810923

koristan link: http://www.macfixit.com/article.php?story=20060224105335758

dok apple uskoro ne izbaci patch, jedini ‘fix’: safari/preferences/general, isključti opciju ‘open ‘safe’ files after downloading’...

Nisi morao da načnješ novu temu za nešto što smo već dovoljno analizirali i o čemu smo dosta razglabali u drugoj.

iskreno mi je žao zbog previda, i slobodno obrišite temu ako mislite da je ‘duplirana’.
međutim, i dalje ne uspevam da vidim gde je originalna diskusija. ovo nije aktuelni worm, već nešto sasvim drugo. ako nije pod ‘mac OS X’, gde bi mogla da bude?
hvala, i izvinjavam se svima još jednom…

Nije bitno što nije isti worm, nedavno se raspravljalo i o njemu i o ostalim, eventualnim, pretnjama i logično je da se diskusija na to nadoveže. Zar za svakog trojanca ili proof of concept otvaramo novu temu? Mislim da to nije potrebno.

BTW, tema je ovde.

Post edited by: madamov, at: 2006/02/27 15:19

Jeste da nije isti worm, ali je spoljašnja manifestacija vrlo slična; natera korisnika da veruje da je u pitanju nešto sasvim drugo (ikona je glavni adut). A onda, ili se radi o binary executable koji radi svoje, kao što je onaj ‘Leap.A’ ili kako već beše, ili mali shell skript, koji pokuša nešto simpatično poput ‘rm -rf ~/’ ili nešto drugo destruktivno, za šta ne treba admin lozinka, niti se pojavi prompt za unos iste.

‘Moral of the story’: ako ne znate šta ste skinuli i ko vam to šalje, pazite na šta dvoklikćete, čnite to iz Finder-a (a ne drugih programa) i pre toga pogledajte malo u ‘Get Info’. Zar je to tako teško zapamtiti?

to je tako tesko zapamtiti 😊

ah, sada mi je lakše, kada vidim da uvažene kolege ipak nisu pogledale linkove koje sam ponudio. dakle, nije ni virus, nije ni worm (pa ne spada u prethodnu diskusiju); opasnost je potencijalno velika (svuda je pretnja označena kao ‘maksimalna’) pa i dalje verujem da zaslužuje ‘naslov’ (ali, ako vam se ne sviđa, obrišite temu, naravno); još uvek nije prijavljen neki sajt koji je zloupotrebio ovu mogućnost, što je verovatno pitanje dana (ne vidim zašto bi čekali sa upozorenjem dok ‘proof of concept’ ne postane problem, i nadam se da nikada neće ni postati problem, jer će apple izbaciti patch u međuvremenu)... za sada, rešenje je da se ‘zatvori’ safari, nije strašno, ali je važno obavestiti ljude, jer običan pregled HTML sadržaja (surf) može da krije iznenađenje…

predostrožnost (‘Moral of the story’) ovde ne funkcioniše (zato se i digla tolika uzbuna na drugim mestima) jer korisnik ni na šta ne klikće osim na uobičajeni HTML link (ne na ikonu, niti išta može da vidi: na primeru koji sam postovao link se vidi kao .mov, ako rešite da ga ne otvarate automatski već da ga downolad-ujete - getInfo ga vidi kao običan .zip, što i ikona pokazuje). međutim, većina korisnika će se iznenaditi odmah, jer je ‘open ‘safe’ files after downloading’ safari default… uostalom, svi mogu da posete pomenuti link i da sami pogledaju kako stvar ‘radi’.

hvala na pažnji, još jednom se izvinjavam ako neko misli da je ova informacija ‘višak’, ali se nadam da macserbia posećuju i ‘obični’ korisnici, koji će i biti ‘meta’ moguće eksploatacije ove ‘ranjivosti’, i da im treba na najjasniji mogući načn objasniti kako da se zaštite…

u to ime, i ako ovu temu ‘zatvaramo’, da ponovim još jednom:

safari/preferences/general, isključti opciju ‘open ‘safe’ files after downloading’...

u to ime, i ako ovu temu ‘zatvaramo’, da ponovim još jednom:

Nećemo da je zatvaramo, ali za ubuduće je ipak bolje da se poruke ostavljaju u prethodnim, sličnim temama. Zar treba za svaku pretnju ili virus da otvaramo temu?

vlidi wrote:

...predostrožnost (‘Moral of the story’) ovde ne funkcioniše…

...safari/preferences/general, isključti opciju ‘open ‘safe’ files after downloading’...

‘Moral’ funkcioniše, naravno pod uslovom da si uradio ‘safari/preferences…’ Ja to radim po dafaultu, neću da mi (glupi) računar određuje koji fajlovi su bezbedni, a koji nisu. Što se linka tiče, zaista ne znam šta pričaš, jer kada kliknem na njega počne da skida neki .zip fajl. U ZIP-u je neško kao QT filmić, ali kada ga odzipuješ, Finder ti lepo kaže da je u pitanju shell skript! Šta se dešava ako kliknem na link, a ‘open safe files’ je omogućeno, stvarno ne znam, niti želim da proveravam. Dakle, deo ‘morala’, iliti predostrožnosti je i da se pomenuta opcija isključ, zato sam i rekao ‘otvarajte fajlove za koje niste sigurni (a najbolje sve) iz Finder-a, a ne drugih programa’.

Update:
I nemoj odmah da se vređaš, niko ovde nije imao nameru da omalovažava tvoja zapažanja i informacije koje si ponudio, već samo da kaže da nova tema nije potrebna, ali hajde da zaboravimo i to, nećemo valjda oko takvih gluposti da se svađamo.

Post edited by: milke, at: 2006/03/01 14:21

...apsolutno se slažem po pitanju predostrožnosti, jedini je problem to što većina korisnika koristi default podešavanja, kako u safariju tako i u automatskom raspakivanju arhiva, i stvarno mislim da naš ‘prosečan mac korisnik’ treba da bude zastupljen kao ciljna grupa na sajtu i forumima, ne bi li se razbio mit o ‘samodovoljnosti’ i ‘elitizmu’ korisnika apple proizvoda, i kako bi se napravila atmosfera u kojoj sadašnji (i naročto budući korisnici) imaju podršku od zajednice, i mesto gde će lako naći odgovor na sve dileme i rešenja za moguće probleme, za razliku od foruma posvećenim drugim platformama, po kojima se muvaju tinejdžeri i ‘trolovi’...

hm, nekako ni meni ne ide uz apple, ali da li bi ipak trebalo da sve ovakve stvari završavaju u nekoj budućoj sekciji koji bi se zvala ‘security’, ili slično?

inače, u demonstraciji ovaj script, u default podešenom sistemu, kroz klik na html link, otvara kalkulator…

poštovani drugari, nisam ni najmanje uvređen - možda vam se to učnilo po tonu koji koristim, ali ja i inače tako pišem, takav mi je stil. ovaj forum zaista doživljavam kao mesto za slobodnu diskusiju o svim apple stvarima, i mnogo hvala svima koji su pomogli da se formira i ‘živi’.

istina, učni mi se da je ponekad atmosfera malo neprijateljska - kratki i cinični odgovori na bilo kakva pitanja koje može korisnik da ima, ili komentari koji imaju ‘ličnu’ notu, mogu samo da deluju odbojno većeni potencijanih članova i korisnika apple proizvoda, i tako dalje, da ne izlazim previše iz okvira diskusije… uostalom, toliko sam zavoleo apple da niko ko takođe koristi i voli apple ne može da me ‘uvredi’, ovo je samo još jedna diskusija 😊

pozdrav svima, i nadam se da se vidimo u nekoj ‘lepšoj’ temi…
😊

priča završena, kao što smo i na vestima videli, novi security update je tu…

http://docs.info.apple.com/article.html?artnum=303382

Safari, LaunchServices

CVE-ID: CVE-2006-0394

Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.5, Mac OS X Server v10.4.5

Impact: Viewing a malicious web site may result in arbitrary code execution

Description: It is possible to construct a file which appears to be a safe file type, such as an image or movie, but is actually an application. When the ‘Open `safe’ files after downloading’ option is enabled in Safari’s General preferences, visiting a malicious web site may result in the automatic download and execution of such a file. A proof-of-concept has been detected on public web sites that demonstrates the automatic execution of shell scripts. This update addresses the issue by performing additional download validation so that the user is warned (in Mac OS X v10.4.5) or the download is not automatically opened (in Mac OS X v10.3.9).

i apple je bio prilično brz.