Faille critique de Safari, Réactions à la news du 21-02-2006

[Lionel]

Heise.de rapporte ce que l'on peut qualifier de faille critique de Safari.
Par défaut, le logiciel ouvre les fichiers qualifiés de fiables après leur téléchargement, y compris les fichiers zippés.
Et c'est là que le problème se pose. Si une personne mal intentionné compresse ainsi un script shell dangereux, il sera exécuté sans préavis.
La faille s'aggrave secondairement à cause de certaines facilités d'usage d'OS X. Même si le script n'a pas d'en-tête classique comme un "#!/bin/bash", le système le lancera via le terminal, et ce même si l'extension du fichier est modifiée en .jpg ou autre chose.
bien entendu, pour en être la victime, il faut avoir téléchargé le .zip en question et donc avoir été victime d'un abus de confiance.
Pour se prémunir de cette exécution en dehors de tout contrôle, il suffit dans les préférences générales de Safari de décocher l'option "Ouvrir automatiquement les fichiers "fiables"".
Il est également possible de déplacer "Terminal" en dehors du dossier Applications, ce qui bloquera le lancement automatique.
Pour illustrer la faille, Heise propose une démo. Si vous cliquez sur le lien ci-dessous, vous verrez alors s'ouvrir votre terminal et afficher le contenu d'un dossier. C'est impressionnant mais sans danger:
http://www.heise.de/security/dienste/browsercheck/demos/safari/Heise.jpg.zip

Dans l'état actuel des choses, cette faille nous préoccupe bien plus que le pseudo virus qui a fait tant de bruit.

[FlyingNono]

C'est clair :
Simple et vicieux, la base du bon virus
je n'ai jamais laissé l'ouverture des fichiers fiables -> bureau puis emplacement à la mano...

oyé oyé décoché
a+

[charlybaby]

ben moi il ne se passe rien !

[imaxg4]

mais ce n'est pas nouveau cette faille, elle date de plusieurs mois, c'est justement pour ca qu'apple a mis l'option de ne pas ouvrir automatiquement les fichiers téléchargés. Je ne vois pas ce qu'il y a de neuf, sauf peut etre de rappeler que le mac a quelques failles et donc justifier l'achat d'un anti-virus, ce que je doute.

[Halcyone]

Hey, le fichier propose n exemple, c'est l'exception qui confirme la regle? Parce que comme il n'est pas "reconnu par Aperçu ou est peut etre corrrompu" je ne peux pas l'ouvrir..

[Lyric_Fiend]

euh c'est pas désactivable cette option d'ouverture automatique?

[Ifrit]

ils devraient faire un peu plus attention chez Apple !!

lorsque l'on télécharge une archive ou un .dmg qui contient une "vraie" application,
Safari affiche un message d'avertissement,

pourquoi ne le fait-il pas lorsqu'il s'agit d'un script shell ??

---> c'est une erreur grossière de la part d'Apple (mais pas très difficile à corriger !!)

[hizo]

Idem, ça ne fait rien chez moi.

[Neuromancien]

Bien sûr que c´est désactivable !
Dans les préférences (Générales)...

Ce message a été modifié par Neuromancien - 21 Feb 2006, 19:40.

[funkybass]

faut-il vraiment se munir d'un antivirus? le peu de spy présent sur la plate forme mac en nécéssite-t-il vraiment un?

[Hi_RAM]

euh c'est pas désactivable cette option d'ouverture automatique?

il sufisait de lire l'info...

il suffit dans les préférences générales de Safari de décocher l'option "Ouvrir automatiquement les fichiers "fiables"".

J'ai fait le test sous Firefox que j'utilise... rien... j'ai lancé Safari... comme une lettre à la poste...

[bapts]

comme le souligne tonton Grouiky chez vos amis de Mac4Ever, un script de shell n'est pas plus dangereux que le précédent soit-disant virus... tant qu'on ne fournit pas de mot de passe administrateur...

[Guest_anonym_f196b720_*]

Par défaut les archives (dmg, zip, etc.) devraient être montées en mode "noexec", "nosuid" et "rdonly".

De même l'installation par défaut d'OSX devrait inclure des partitions correctement montées, et les répertoires des dossiers utilisateurs devraient également avoir des modes particuliers (noexec pour Documents, images, nosuid pour scripts, etc.).

En parlant de fichiers fiables, Apple ne devrait accepter _que_ des fichiers signés numériquement par un certificat approuvé par l'utilisateur (ou un compte administrateur).

Désolé pour les rêveurs mais OSX, si Apple ne s'améliore pas, sera peut-être bientôt l'OS le moins sûr du marché.

:-(

Edit : je parle de toutes les archives, pas uniquement celles téléchargées via Safari

Ce message a été modifié par anonym_f196b720 - 21 Feb 2006, 19:55.

[luitel]

Ce n'est pas pas la première fois que j'en entends parler non plus, télécharger les widgets de Dashboard pouvait amener le même type de problème. Depuis que je le sais, l'ouverture automatique des fichiers téléchargés est désactivée chez moi. Elle devrait l'être par défaut, à mon avis !

[Alcmene_]

Eeeuh dites les gens c'est pas pour casser le truc mais... J'ai l'option d'ouverture des fichiers fiables autmoatiquement activée, et le fichier n'est même pas décompressé… Bon en même temps je vais pas me plaindre hein

[kmx]

Je ne sais pas si le "virus" utilisant cette faille y serait également sensible, même si je pense que oui, mais le problème est également résolu si le fichier est téléchargé dans un dossier dont le nom contient un caractère accentué ("Téléchargement" ou "Réception", par exemple). Ça limite pas mal les risques !

[claudebbg]

"bien entendu, pour en être la victime, il faut avoir téléchargé le .zip en question et donc avoir été victime d'un abus de confiance."

En fait, si l'on reprend le fichier de démo de Secunia (même
http://secunia.com/mac_os_x_command_execut...erability_test/

il peut être lancé via un frameset, donc sans click, l'utilisateur a seulement été sur un site ou ouvert un lien à l'apparence correcte (pas de http://....zip mais un innocent http://...html)

Couplé à quelques vieux tricks comme la réduction de la fenêtre du Terminal en mode invisible et le retour a Safari, ça peut effectivement vite devenir très dangereux pour des utilisateurs non avertis.

Je me demandais parfois si ce n'était pas excessif de systématiquement décocher cette case dans les préférence finalement non.

Et il y a toujours notre ami Firefox qui s'en sort comme un chef.

[1010]

Je concois que ca pose un probleme de securité.

Maintenant, un rm -rf * c'est aussi tres dangeureux (d'ailleurs evitez le copier/coller pour tester) mais est-ce pourtant une faille critique ?

EDIT : ceci etant, c'est dommage qu'Apple se base du l'extention d'un fichier et pas sur son type (avec 'file' par example) pour la securité comme pour les icones par examples.

Ce message a été modifié par 1010 - 21 Feb 2006, 20:11.

[BlackFire]

Un petit exemple de bidule qui s'execute tout seul.

Apple-Exchange (tout en haut, du moins pour l'instant )

C'est pas méchant mais ça vous fous un coup... des trucs pareils sur nos Macs...

Pour l'instant ya des frames débiles sur notre site, veuillez nous en excuser, donc cliquez ici pour accèder à la page d'acceuil.

Ce message a été modifié par BlackFire - 21 Feb 2006, 21:47.

[lobo71]

En tout les cas, cela mérite toute notre attention, car contrairemnt à ce qui pouvait se croire, OSx n'est pas exempt de risques : le risque 0 n'existant pas de toute façon.
Et comme déja dit, la majorité des profils sont "administrateurs", car c'est le profil par défaut lors de l'installation de Mac Os.
Il serait de bon ton lors de l'installation de le signaler, voire même de créer autiomatiquement un 2ème compte non Admin et de lancer ensuite OSx sur ce compte lors de la 1ère installation.
Idem dans Safari, de désactiver par défaut l'ouverture des fichiers, même si cela n'empêche pas l'éxécution après coup.

Il serait bienvenu qu'Apple réagisse, de façon à éviter l'éxécution d'une commande via le terminal sans en prévenir l'utilisateur.
Ca doit pas être très difficle à implémenter .....

Je suis persuadé que le fait que Mac Osx soit dorénavant dispo sur les plateformes x86 va accentuer l'apparition de virus et assimilés, car l'installation de Mac Osx étant accessibles sur x86, les développeurs de virus n'auront pas à acheter de matériel spécifique pour tester la vulnérabilité du système.
Et bon nombre de petits malins vont s'en donner à coeur joie, malheureusement pour les utilisateurs

Alors que Windows subit des virus quasiment tous les jours, un nombre énorme d'utilisateurs (+ de 50% et même des entreprises) n'utilisent ni antivirus (ou alors ne font pas les MAJ) ni firewall.
Les gens qui achètent un Mac veulent aussi la tranquilité, et sont souvent et de plus en plus des utlisateurs sans connaissance approfondie de l'info, et de plus ne consultent pas les forums comme Macbidouille tous les jours.
J'en connais des switcheurs, et franchement ils ne prennent aucune précaution, donc il serait e bon to qu'Apple réagisse.

Ce message a été modifié par lobo71 - 21 Feb 2006, 20:27.

[Guest_anonym_f196b720_*]

Et il y a toujours notre ami Firefox qui s'en sort comme un chef.

Faux !
Tout comme décocher l'option dans Safari ne résout pas le souci.

Au final tu as toujours une archive sur ton bureau, qui, montée, te donne l'impression de ne contenir qu'une bête image et quand tu double-cliques dessus, au lieu d'afficher un jpeg, tu lances un script.

C'est encore pire avec Safari + option cochée, mais le problème est là même si le dmg t'a été envoyé par mail où que tu l'as téléchargé par ftp ou autre.

[jules]

Heu...
Moi je l'ai jamais touchée, et cette option est décochée.
Donc elle doit être inactivée par défault, non?

Si cela ne tenait qu'à moi ce genre d'options n'existerait pas.
Plus inquiétant, le petit programme qui permettra de l'activer sans que l'utilisateur le sache.... Et cela ne demande pas de mot de passe...

PS pour comprendre la menace: je refais le même type de fichiers en partant d'un document vierge dans BBEdit (contient: /bin/ls + echo tralala), je change l'icone par un copier/coller, je change l'application utilisée pour l'ouvrir, et: çà ne marche pas. Le terminal revient au premier plan, mais je ne vois pas de nouvelle fenêtre avec tralala s'afficher.
Donc je suppose qu'il faut être moins ignorant que moi en info (ok, pas dur) pour créer ce genre de fichier.

[switcheremac]

Switcheur venant de Windows j'ai appris une chose ; ne jamais utiliser le navigateur internet adapté spécialement par l'éditeur de l'OS. Ce n'est pas le premier problème dû à Safari : Les Widgets et des Apple Scripts avaient déjà fait parler de lui.
En plus Mozilla nous a concocté une petite merveille dans ce domaine que pour nous !

Mac OS soufre d'un défaut de tous les OS modernes (sauf peu-être Linux) l'automatisation trop poussée des taches. On est à la fois demandeur de plus de fonctionnalité et de sécurité. C'est incompatible…

Ce message a été modifié par switcheremac - 21 Feb 2006, 20:34.

[lobo71]

En tou les cas, pour l'instant mais ce n'est qu'une protection temporaire :
déplacer l'appli Terminal du dossier Utilitaires
Car rien n'empêche de scanner le disque afin de trouver cette appli, voire même de l'implémenter dans le fichier.

Déplacer Terminal aura t'il des incidences sur les logiciels qui utilisent le teminal comme les ToolsX ou autres ?

[ribwund]

comme le souligne tonton Grouiky chez vos amis de Mac4Ever, un script de shell n'est pas plus dangereux que le précédent soit-disant virus... tant qu'on ne fournit pas de mot de passe administrateur...

Sauf si il remplace le programme qui demande le mot de passe, ou si il ouvre un accès à distance...

[lobo71]

' date='21 Feb 2006, 19:52' post='1567169']
Par défaut les archives (dmg, zip, etc.) devraient être montées en mode "noexec", "nosuid" et "rdonly".

De même l'installation par défaut d'OSX devrait inclure des partitions correctement montées, et les répertoires des dossiers utilisateurs devraient également avoir des modes particuliers (noexec pour Documents, images, nosuid pour scripts, etc.).

Ok pour ça, je trouve que c'est une bonne solution.

En parlant de fichiers fiables, Apple ne devrait accepter _que_ des fichiers signés numériquement par un certificat approuvé par l'utilisateur (ou un compte administrateur).

Par contre là, ça tient du délire, impossible à mettre en oeuvre sinon tu ne pourras même plus télécharger une image sur le web, autant dire c'est la fin d'internet.
Je ne compte plus le nombre de fois où j'ai été sur internet récupérer des infos et téléchargé des fichiers ou des images.

comme le souligne tonton Grouiky chez vos amis de Mac4Ever, un script de shell n'est pas plus dangereux que le précédent soit-disant virus... tant qu'on ne fournit pas de mot de passe administrateur...

Sauf si il remplace le programme qui demande le mot de passe, ou si il ouvre un accès à distance...

Ou si le compte est un compte admin ... ce qui est le cas de la majorité des mac users .....

Ce message a été modifié par lobo71 - 21 Feb 2006, 20:43.

[Guest_anonym_f196b720_*]

En parlant de fichiers fiables, Apple ne devrait accepter _que_ des fichiers signés numériquement par un certificat approuvé par l'utilisateur (ou un compte administrateur).

Par contre là, ça tient du délire, impossible à mettre en oeuvre sinon tu ne pourras même plus télécharger une image sur le web, autant dire c'est la fin d'internet.
Je ne compte plus le nombre de fois où j'ai été sur internet récupérer des infos et téléchargé des fichiers ou des images.

OK il faut pouvoir télécharger des fichiers qui ne sont pas signés.
Mais dans ce cas il ne faut pas que l'utilisateur puisse penser que ce fichier est _fiable_
Or Apple laisse croire à l'utilisateur lambda qu'il surfe en toute sécurité avec cette case cochée, alors que ce n'est pas le cas.
Un homme averti...

Edit : quand tu télécharges une image ou un fichier texte, ce fichier est associé avec l'application par défaut pour ce type de fichier. Donc Aperçu ou TextEdit, et donc il n'y a pas de souci. Le problème avec notre image disque, c'est que l'application utilisée pour ouvrir le fichier est celle qu'a choisi le créateur de l'archive (par exemple le terminal).
Si au moins OSX prévenait que l'application qui sera lancée n'est pas celle qui est 'recommandée'...

Ce message a été modifié par anonym_f196b720 - 21 Feb 2006, 21:00.

[Medine]

C'était à prévoir, je cherche pas à me faire des ennemis, mais je pense qu'on va à grand pas vers un OSX de moins en mois sûr et tranquille...

[mroc]

Je concois que ca pose un probleme de securité.

Maintenant, un rm -rf * c'est aussi tres dangeureux (d'ailleurs evitez le copier/coller pour tester) mais est-ce pourtant une faille critique ?

EDIT : ceci etant, c'est dommage qu'Apple se base du l'extention d'un fichier et pas sur son type (avec 'file' par example) pour la securité comme pour les icones par examples.

Heuu, je prefere un SUDO RM -rf /* qui est bien plus mechand ou mieux:
SUDO DD if=/dev/null of=/dev/disk0 qui est un vrai buldozer sans posibilite de recuperation par undelete.
( les commandes sonr en minuscule, et pas en majuscule, juste pour eviter tiut copier coller ...)

Thor

[Lyric_Fiend]

euh c'est pas désactivable cette option d'ouverture automatique?

il sufisait de lire l'info...

il suffit dans les préférences générales de Safari de décocher l'option "Ouvrir automatiquement les fichiers "fiables"".

J'ai fait le test sous Firefox que j'utilise... rien... j'ai lancé Safari... comme une lettre à la poste...

au temps pour moi en effet, la fatigue surement...