- Björnström
- Medlem ●
- Stockholm
- 2004-05-18 10:59
<img src="http://www.99mac.se/nyhetsbilder/safarihjalpb..." border="0">
Ett nytt säkerhetshål har upptäckts i Safari som kan ge obehöriga personer möjlighet att köra program på din dator med alla problem det kan medföra. 99mac har skapat ett ofarligt exempel som visar hur lätt det är att starta ett program på din dator.
Allt fler säkerhetsluckor i Mac OS X blir nyhetsrubriker runt om i världen och det tyder på att operativsystemet används av fler och fler vilket automatiskt genererar intresse bland hackers.
Programmet "Hjälpvisning" som visar hjälpfiler för olika program (t ex om du väljer "Safari Hjälp" från menyn hjälp i Safari) har möjligheten att starta program i Mac OS X. Detta för att kunna starta t ex Systeminställningar för att kunna fungera bättre som hjälpprogram.
Problemet, eller buggen, är att man få Hjälpvisning att starta genom att man länkar från vilken websida som helst i Safari bara genom att man anger help: som protokoll (se ofarligt exempel nedan). Detta i sig ugör en ganska stor risk, men programmet som körs måste ligga på din dator och en eventuell illvillig person måste veta var på datorn det ligger. Det här ger ju en viss säkerhet, men tillsammans med funktionen Safari har som automatiskt monterar skivavbildningar blir buggen farligare. Om en illvillig person får dig att först klicka på en länk till en skivavbildning, och en stund senare, när laddats ner, klicka på ytterligare en länk så kan den illvilliga personen få vilka program som helst att köras på din dator.
99mac uppmanar därför sina läsare att vara försiktiga när de klickar på länkar på sidor som ni inte litar helt på. 99mac kommer rapportera så snabbt det finns en uppdatering av Safari för nedladdning.
Ett sätt att skydda sig till viss del är att stänga av den automatiska öppningen av filer i Safari. Detta kan du göra i Safaris Inställningar under fliken Allmänt. Kryssa ur "Öppna 'säkra' filer efter hämtning".
Ett säkrare sätt är att ändra så att Hjälpvisning inte startas av help:-länkar. Detta görs enklast via Internet Explorder (tyvärr finns inte inställningen i varken Systeminställningar eller Safari). Välj "Hjälpprogram för protokoll" under Nätverk i inställningarna. Ändra programmet för help till något annat, t ex Textredigerar/Textedit. Tack till Adrian B för beskrivningen.
Här kommer ett ofarligt exempel på buggen: Om du klickar <a href="help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt">här</a> kommer ett program som visar datum och tid att startas på din dator (programmet gör inget farligt, det visar enbart tid och datum)
Rapporten av felet kan du läsa här.