Ganon
2005-05-09, 15:10:03
Hi.
Safari installiert bei aktivierter Option "sichere Dateien nach dem Laden ausführen" automatisch und ohne Rückfrage Dashboard-Widgets.
Da Widgets auch Terminal-Befehle ausführen können, haben wir es hier mit einer deftigen Sicherheitslücke zu tun.
Temporäre Lösung für das Problem:
Die Option "sichere Dateien nach dem Laden ausführen" deaktivieren. Diese ist standardmäßig aktiviert.
Grund und Erklärung dahinter:
Safari prüft vor dem entpacken von runtergeladenen Dateien, ob dieses Archiv ausführbare Dateien enthält. Enthält sie keine, dann wird es ausgeführt (und sei es den Ordner zu öffnen). Enthält sie ausführbare Dateien kommt eine Warnung und eine Abfrage.
Dashboard-Widgets sind aber HTML/JavaScript-Pakete. Darum erkennt Safari diese nicht. D.h. ein Widget kann ein Schädlingsprogramm mitliefern, welches das Ausführungsbit nicht gesetzt hat. Beim Ausführen des Widgets kann dieses Bit aber gesetzt werden (da Dashboard Terminal-Zugriff hat über widget.system()) und das Schad-Programm ausgeführt werden.
Tarnt man nun ein Widget als ein Apple-Widget (z.B. als Rechner), braucht der User nur noch draufzuklicken und geschehen ist es. Aber er muss es wirklich erst starten. Von alleine wird keinerlei Code ausgeführt.
Root-Zugriff ist zwar nicht möglich, aber $HOME löschen und RootKits installieren ist auch nicht schön.
Erste "böse" Widgets gibt es bereits.
Also bitte die Option deaktivieren, bis ein Patch von Apple kommt, sofern ihr Safari benutzt.
So wie man Steve Jobs kennt, wird der Dashboard-Verantwortliche wohl nicht mehr lange bei Apple arbeiten. Klar, bei so einem Sicherheitsloch.
http://it.slashdot.org/it/05/05/08/2131208.shtml?tid=172&tid=179&tid=3
Safari installiert bei aktivierter Option "sichere Dateien nach dem Laden ausführen" automatisch und ohne Rückfrage Dashboard-Widgets.
Da Widgets auch Terminal-Befehle ausführen können, haben wir es hier mit einer deftigen Sicherheitslücke zu tun.
Temporäre Lösung für das Problem:
Die Option "sichere Dateien nach dem Laden ausführen" deaktivieren. Diese ist standardmäßig aktiviert.
Grund und Erklärung dahinter:
Safari prüft vor dem entpacken von runtergeladenen Dateien, ob dieses Archiv ausführbare Dateien enthält. Enthält sie keine, dann wird es ausgeführt (und sei es den Ordner zu öffnen). Enthält sie ausführbare Dateien kommt eine Warnung und eine Abfrage.
Dashboard-Widgets sind aber HTML/JavaScript-Pakete. Darum erkennt Safari diese nicht. D.h. ein Widget kann ein Schädlingsprogramm mitliefern, welches das Ausführungsbit nicht gesetzt hat. Beim Ausführen des Widgets kann dieses Bit aber gesetzt werden (da Dashboard Terminal-Zugriff hat über widget.system()) und das Schad-Programm ausgeführt werden.
Tarnt man nun ein Widget als ein Apple-Widget (z.B. als Rechner), braucht der User nur noch draufzuklicken und geschehen ist es. Aber er muss es wirklich erst starten. Von alleine wird keinerlei Code ausgeführt.
Root-Zugriff ist zwar nicht möglich, aber $HOME löschen und RootKits installieren ist auch nicht schön.
Erste "böse" Widgets gibt es bereits.
Also bitte die Option deaktivieren, bis ein Patch von Apple kommt, sofern ihr Safari benutzt.
So wie man Steve Jobs kennt, wird der Dashboard-Verantwortliche wohl nicht mehr lange bei Apple arbeiten. Klar, bei so einem Sicherheitsloch.
http://it.slashdot.org/it/05/05/08/2131208.shtml?tid=172&tid=179&tid=3