Säkerhetshål i Safari

Det där var ett rätt läskigt säkerhetshål.

En varning till dem som är ordentligt måna om sin säkerhet: länken kommer att ladda med .dmg-filen direkt.

Haha ett riktigt grovt Windows-style hål

Och enligt en kommentar på slahdot så har det varit känt sedan februari...

Tydligen: här, på MacNN

Så där ja. Nu är "automount" avstängd tills vidare.

Jag har tittat på alla inställningar som går att göra i Safari. Antingen är jag ouppmärksam, eller så finns det ingen sådan inställning. Var hittar ni den?

Gör som jag beskrev ovan istället, för att hindra Hjälpvisning att starta över huvud taget.

Det är en bättre lösning att ställa om help-protokollet, det är säkrare och det är bekvämare (man kan fortfarande låta andra säkra filer öppnas).

Såg att man kan stänga av funktionen att öppna "säkra filer" automatiskt, vilket ju inkluderar pdf och en massa. Finns det något sätt att stänga av enbart monteringen av dmg-filer?

Mer info om detta: http://secunia.com/advisories/11622/. Är det någon som har tips om vad man kan göra förutom att ta bort "open safe files". t ex hur gör man "Rename the help URI handler".

Här är en annan artikel (med tillhörande länk för att testa säkerhetshålet): Safari/help runscript: Proof Of Concept

Några saker (utifrån länken ovan):

1) Det är inte bara Safari det gäller, även andra webbläsare kan råka ut för det, beroende på inställningar.

2) Det bästa sättet att skydda sig är att ställa om help-protokollet att inte starta Hjälpvisning.

Eftersom Apple av någon dum anledning har tagit bort Internet Config så behöver man använda något annat program för att ändra detta. Enklast är att starta Internet Explorer och via Inställningar->Nätverk->Hjälpprogram för protokoll ändra så att help startar något annat program (typ Textredigerare (Textedit)).

Menar du att ändringar gäller även för Safari?

Gå på inställningar, allmänt och ta bort krysset i "Öpnna säkra filer efter hämtning"

Inte alls kul - jag vill ju köra Camino 0.8b en tid och hittar ingenstans att kryssa för/bort något

Olle, 3OPAH och andra som undrar: använd Internet Explorer för att ändra, sen gäller ändringen för *alla* webbläsare. Vad IE gör är att ändra i Internet Config, som Apple valt (av någon dum anledning) att plocka bort, så det är upp till tredjepartsprogram att ändra i dessa inställningar.

Tror ni inte mig så är det ju bara att testa själva:
1) Ändra i IE (till Textredigerare t.ex.).
2) Klicka på den "farliga" länken i Safari igen.
3) Ta-da!

(För att läsa mera om Internet Config så kolla in Daring Fireballs artikel om problem med Energy Saver, den tar upp delar av denna aspekt.)

Själv har jag haft det urkryssat sedan länge, men inte av någon säkerhetsanledning, utan att jag helt enkelt inte tycker om att saker kan få för sig att öppnas med ett annat program än vad jag själv föredar. t.ex Acrobrat Reader istället för Förhandsvisning. Eller att skivavbildningar monteras av sig själva för den delen.

Har alltid tyckt att det varit störande när nerladdade filer envisas att öppnas av sig självt...

Nu finns det ett program som fixar detta, har inte testat det själv dock:

Don't go there GURLfriend! 1.0
Don't go there GURLfriend! fixes the help:// exploit in Safari which can allow for remote code execution.

Det lättaste vore om apple ändrade applikationen OpnApp.scpt och la till en dialogruta i formen "är du säker på att du vill öppna filen/programmet 'blaha blaha'?" Så får man trycka ok. Tar ungefär 3 sek att lägga till och borde kunna lösas rätt lätt med en security update.
Tyvärr finns OpnApp på c:A 40 ställen på en normalt installerad dator (grymt onödigt men iaf)

/glemme

Näe usch, ingen sådan lösning, tack så mycket. Jag vill inte behöva godkänna allting. Om buggen i WebKit fixas, för det är där buggen är (t.ex. är NetNewsWire precis lika drabbad som Safari), så kan man fortsätta att ladda ner och öppna säkra filer.

...som sagt

Tillägg: Det är inte bara program som använder WebKit som kan drabbas, även andra webbläsare som t.ex. Camino kan drabbas.

Man kan spärra help:// med MoreInternet.

Är gratis och kan ändra de flest default-programmen för olika protokoll.

Eller byta program i IE-kotrollpanelen - Network - Protocol helpers

Oj oj oj, vilket liv för detta. Har någon verkligen blivit drabbad? Nä... He he, fast det är kul att man äntligen kan förstå varför dessa säkerhetsuppdaterigar "behövs".

Det finns goda skäl till att det varit ett liv kring detta, har du inte insett det?

Till skillnad från det andra obskyra säkerhetshålet som rapporterades om för nån månad sedan så är detta högst allvarligt. Jag kan här och nu skriva en enda länk som raderar hela din användarmapp så fort du klickar på den i webbläsare som t.ex. Safari eller andra program som använder WebKit som t.ex. NetNewsWire. Ett enda klick på en länk i en webbläsare. Det är en extremt stor säkerhetslucka och har inte haft någon motsvarighet i macvärlden någonsin så vitt jag vet. Så om det blir ett liv av detta finns det verkligen all anledning till det.

Tja det blir alltid en hysterisk hype kring minsta lilla skithål i Windows så varför inte över detta i MacOS X ?

För att det inte är ett "litet skithål", som Adrian B skrev/beskrev tidigare i tråden.

Jag tror att du missförstod mitt inlägg. Dessutom kan man med lätthet argumentera att surfar man runt på den typen av websiter som försöker utnyttja hålet så får man mer eller mindre skylla sig själv.

Okay jag kanske missuppfattade dig tidigare. Vad menade du med inlägget som jag svarade på ovan?

Att det är ett skithål Jag har lite svårt att hetsa upp mig för den här typen av exploits, jag vet var folk som drabbas blir smittade, och inte är det på någon seriös website, ung samma som med dom "modemkapade", snyfthistorier på IDG om Kalle 15 eller Bertil 46 som fått sina modem kapade och en fet telräkning på det, undrar var dom har varit på för siter? :rolleyes:

Woz, läs mitt tidigare inlägg, det är absolut inget skithål, det är utan tvekan det mest allvarliga säkerhetshålet för mac och ett enda klick på fel länk kan radera din hårddisk. Det är dessutom otroligt enkelt att utnyttja säkerhetshålet. Man behöver inte lära sig hur man skickar någon skum memory buffert overflow eller nåt sånt utan bara ge en enda enkel länk.

Att skylla på att folk besöker skumma sidor håller inte (men det visar vilken syn du har på folk som inte kan datorer lika bra som du).

För det första så skadar detta mac som plattform, macen som ofta tas som exempel på en plattform som är säkrare och mindre virusbenägen.

För det andra, och viktigare, så behöver det verkligen inte vara skumma sidor. Vad hindrar en script kiddie från att registrera här på 99mac, logga in, skapa en ny tråd och skriva nåt i stil med: "Nya rykten om 10.4 hos MacRumors, klicka här" och vips har hårddiskarna på åtskilliga macanvändare i Sverige raderats. Eller om någon hackar en seriös macsida och diskret ändrar en länk? Det behövs inga skumma porrsidor för att utnyttja säkerhetshålet och det borde även du inse.

Fast å andra sidan, varför diskuterar jag med den här killen överhuvudtaget?

Jag har letat i dina tidigare inlägg i den här tråden men jag har ännu inte hittat något som gör mig medveten om vad du pratar om här, på vilket sätt anser du att du har diskuterat med mig "öht"?

Elitistiskt snobberi kallas det för.