Faille critique de Safari, Réactions à la news du 21-02-2006 |
Bienvenue invité ( Connexion | Inscription )
Faille critique de Safari, Réactions à la news du 21-02-2006 |
21 Feb 2006, 19:25
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 343 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Heise.de rapporte ce que l'on peut qualifier de faille critique de Safari.
Par défaut, le logiciel ouvre les fichiers qualifiés de fiables après leur téléchargement, y compris les fichiers zippés. Et c'est là que le problème se pose. Si une personne mal intentionné compresse ainsi un script shell dangereux, il sera exécuté sans préavis. La faille s'aggrave secondairement à cause de certaines facilités d'usage d'OS X. Même si le script n'a pas d'en-tête classique comme un "#!/bin/bash", le système le lancera via le terminal, et ce même si l'extension du fichier est modifiée en .jpg ou autre chose. bien entendu, pour en être la victime, il faut avoir téléchargé le .zip en question et donc avoir été victime d'un abus de confiance. Pour se prémunir de cette exécution en dehors de tout contrôle, il suffit dans les préférences générales de Safari de décocher l'option "Ouvrir automatiquement les fichiers "fiables"". Il est également possible de déplacer "Terminal" en dehors du dossier Applications, ce qui bloquera le lancement automatique. Pour illustrer la faille, Heise propose une démo. Si vous cliquez sur le lien ci-dessous, vous verrez alors s'ouvrir votre terminal et afficher le contenu d'un dossier. C'est impressionnant mais sans danger: http://www.heise.de/security/dienste/browsercheck/demos/safari/Heise.jpg.zip Dans l'état actuel des choses, cette faille nous préoccupe bien plus que le pseudo virus qui a fait tant de bruit. |
|
|
21 Feb 2006, 19:30
Message
#2
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 487 Inscrit : 28 May 2004 Lieu : népalà Membre no 19 272 |
C'est clair :
Simple et vicieux, la base du bon virus je n'ai jamais laissé l'ouverture des fichiers fiables -> bureau puis emplacement à la mano... oyé oyé décoché a+ -------------------- Apple c'est comme l'acide, la descente est raide
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste |
|
|
21 Feb 2006, 19:33
Message
#3
|
|
Macbidouilleur d'argent ! Groupe : Membres Messages : 613 Inscrit : 13 Jul 2002 Membre no 2 903 |
ben moi il ne se passe rien !
-------------------- Arrivée d'air chaud !
G4 733 (graver dvd pioneer dvr-108, 728 Mo Ram, écran TFT 17",DD 200 hitachi) sous Tiger et PB 15" Alu (G4 1,5 Ghz PPC,1Go Ram,dd 7k 100 Go) sous Leopard, Freebox v4, iPod Mini |
|
|
21 Feb 2006, 19:33
Message
#4
|
|
Nouveau Membre Groupe : Membres Messages : 5 Inscrit : 9 Jun 2005 Membre no 40 686 |
mais ce n'est pas nouveau cette faille, elle date de plusieurs mois, c'est justement pour ca qu'apple a mis l'option de ne pas ouvrir automatiquement les fichiers téléchargés. Je ne vois pas ce qu'il y a de neuf, sauf peut etre de rappeler que le mac a quelques failles et donc justifier l'achat d'un anti-virus, ce que je doute.
|
|
|
21 Feb 2006, 19:33
Message
#5
|
|
Nouveau Membre Groupe : Banned Messages : 13 Inscrit : 3 Feb 2006 Lieu : LYON Membre no 54 864 |
Hey, le fichier propose n exemple, c'est l'exception qui confirme la regle? Parce que comme il n'est pas "reconnu par Aperçu ou est peut etre corrrompu" je ne peux pas l'ouvrir..
-------------------- !* PB 1.67/1.5DDR2 + iPod *! |
|
|
21 Feb 2006, 19:37
Message
#6
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 085 Inscrit : 22 Jun 2005 Lieu : Toulon Membre no 41 331 |
euh c'est pas désactivable cette option d'ouverture automatique?
-------------------- |
|
|
21 Feb 2006, 19:39
Message
#7
|
|
Adepte de Macbidouille Groupe : Membres Messages : 131 Inscrit : 6 Jun 2002 Lieu : Monaco Membre no 2 635 |
ils devraient faire un peu plus attention chez Apple !!
lorsque l'on télécharge une archive ou un .dmg qui contient une "vraie" application, Safari affiche un message d'avertissement, pourquoi ne le fait-il pas lorsqu'il s'agit d'un script shell ?? ---> c'est une erreur grossière de la part d'Apple (mais pas très difficile à corriger !!) |
|
|
21 Feb 2006, 19:39
Message
#8
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 3 007 Inscrit : 13 Feb 2005 Membre no 32 967 |
Idem, ça ne fait rien chez moi.
-------------------- Thinkpad x220 - GNU/Linux Debian
|
|
|
21 Feb 2006, 19:40
Message
#9
|
|
Adepte de Macbidouille Groupe : Membres Messages : 111 Inscrit : 28 Jul 2004 Membre no 21 467 |
Bien sûr que c´est désactivable !
Dans les préférences (Générales)... Ce message a été modifié par Neuromancien - 21 Feb 2006, 19:40. -------------------- Powermac G5 2X2 Ghz (PPC 970 FX) juin 04, 1 Go Ram, Radeon 9600XT, HD Seagate 160 Go & WD Raptor 73 Go.
Mac OS X.3.9, X.4.10 & X.5.6 |
|
|
21 Feb 2006, 19:43
Message
#10
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 293 Inscrit : 14 Jun 2005 Lieu : Paris Membre no 40 904 |
faut-il vraiment se munir d'un antivirus? le peu de spy présent sur la plate forme mac en nécéssite-t-il vraiment un?
-------------------- Macbook Black C2D 2Go/80Go
Mbox 2 Mini HTC P3600 WM6 :) |
|
|
21 Feb 2006, 19:43
Message
#11
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 396 Inscrit : 8 Feb 2005 Lieu : Lutécien n'étant rien et sans dents Membre no 32 633 |
CITATION(Lyric_Fiend @ 21 Feb 2006, 19:37) [snapback]1567130[/snapback] euh c'est pas désactivable cette option d'ouverture automatique? il sufisait de lire l'info... CITATION il suffit dans les préférences générales de Safari de décocher l'option "Ouvrir automatiquement les fichiers "fiables"". J'ai fait le test sous Firefox que j'utilise... rien... j'ai lancé Safari... comme une lettre à la poste... -------------------- signature éditée car non conforme aux recommandations après plus de 6 ans d'utilisation il était effectivement temps…
|
|
|
21 Feb 2006, 19:50
Message
#12
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 324 Inscrit : 22 Jul 2001 Lieu : Paris, FR Membre no 535 |
comme le souligne tonton Grouiky chez vos amis de Mac4Ever, un script de shell n'est pas plus dangereux que le précédent soit-disant virus... tant qu'on ne fournit pas de mot de passe administrateur...
|
|
|
Guest_anonym_f196b720_* |
21 Feb 2006, 19:52
Message
#13
|
Guests |
Par défaut les archives (dmg, zip, etc.) devraient être montées en mode "noexec", "nosuid" et "rdonly".
De même l'installation par défaut d'OSX devrait inclure des partitions correctement montées, et les répertoires des dossiers utilisateurs devraient également avoir des modes particuliers (noexec pour Documents, images, nosuid pour scripts, etc.). En parlant de fichiers fiables, Apple ne devrait accepter _que_ des fichiers signés numériquement par un certificat approuvé par l'utilisateur (ou un compte administrateur). Désolé pour les rêveurs mais OSX, si Apple ne s'améliore pas, sera peut-être bientôt l'OS le moins sûr du marché. :-( Edit : je parle de toutes les archives, pas uniquement celles téléchargées via Safari Ce message a été modifié par anonym_f196b720 - 21 Feb 2006, 19:55. |
|
|
21 Feb 2006, 19:52
Message
#14
|
|
Adepte de Macbidouille Groupe : Membres Messages : 136 Inscrit : 12 Oct 2004 Lieu : Bruxelles Membre no 25 097 |
Ce n'est pas pas la première fois que j'en entends parler non plus, télécharger les widgets de Dashboard pouvait amener le même type de problème. Depuis que je le sais, l'ouverture automatique des fichiers téléchargés est désactivée chez moi. Elle devrait l'être par défaut, à mon avis !
|
|
|
21 Feb 2006, 19:55
Message
#15
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 919 Inscrit : 20 Apr 2005 Lieu : Sophia-Antipolis (Nice) Membre no 37 507 |
Eeeuh dites les gens c'est pas pour casser le truc mais... J'ai l'option d'ouverture des fichiers fiables autmoatiquement activée, et le fichier n'est même pas décompressé
Bon en même temps je vais pas me plaindre hein
-------------------- MBP Santa Rosa 15" 2,2 / 4Go / SSD Samsung Serie 830 (256Go) / DD320@7200 custom / Snow Leopard à jour
iPhone 3GS 16Go Black chez B&You JBL Creatures II blanches + Ingénieur en informatique, spécialisé dans le web (classique & sémantique) |
|
|
21 Feb 2006, 19:59
Message
#16
|
|
Adepte de Macbidouille Groupe : Membres Messages : 246 Inscrit : 9 May 2004 Lieu : Houdan - 78 Membre no 18 648 |
Je ne sais pas si le "virus" utilisant cette faille y serait également sensible, même si je pense que oui, mais le problème est également résolu si le fichier est téléchargé dans un dossier dont le nom contient un caractère accentué ("Téléchargement" ou "Réception", par exemple). Ça limite pas mal les risques !
|
|
|
21 Feb 2006, 20:04
Message
#17
|
|
Nouveau Membre Groupe : Membres Messages : 8 Inscrit : 21 Feb 2006 Lieu : Paris Membre no 56 112 |
"bien entendu, pour en être la victime, il faut avoir téléchargé le .zip en question et donc avoir été victime d'un abus de confiance."
En fait, si l'on reprend le fichier de démo de Secunia (même http://secunia.com/mac_os_x_command_execut...erability_test/ il peut être lancé via un frameset, donc sans click, l'utilisateur a seulement été sur un site ou ouvert un lien à l'apparence correcte (pas de http://....zip mais un innocent http://...html) Couplé à quelques vieux tricks comme la réduction de la fenêtre du Terminal en mode invisible et le retour a Safari, ça peut effectivement vite devenir très dangereux pour des utilisateurs non avertis. Je me demandais parfois si ce n'était pas excessif de systématiquement décocher cette case dans les préférence finalement non. Et il y a toujours notre ami Firefox qui s'en sort comme un chef. |
|
|
21 Feb 2006, 20:05
Message
#18
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 401 Inscrit : 12 Oct 2004 Membre no 25 068 |
Je concois que ca pose un probleme de securité.
Maintenant, un rm -rf * c'est aussi tres dangeureux (d'ailleurs evitez le copier/coller pour tester) mais est-ce pourtant une faille critique ? EDIT : ceci etant, c'est dommage qu'Apple se base du l'extention d'un fichier et pas sur son type (avec 'file' par example) pour la securité comme pour les icones par examples. Ce message a été modifié par 1010 - 21 Feb 2006, 20:11. |
|
|
21 Feb 2006, 20:08
Message
#19
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 261 Inscrit : 1 Apr 2005 Lieu : Lutry, Suisse Membre no 36 328 |
Un petit exemple de bidule qui s'execute tout seul.
Apple-Exchange (tout en haut, du moins pour l'instant ) C'est pas méchant mais ça vous fous un coup... des trucs pareils sur nos Macs... Pour l'instant ya des frames débiles sur notre site, veuillez nous en excuser, donc cliquez ici pour accèder à la page d'acceuil. Ce message a été modifié par BlackFire - 21 Feb 2006, 21:47. |
|
|
21 Feb 2006, 20:16
Message
#20
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 352 Inscrit : 12 Dec 2002 Lieu : PUTEAUX 92 Membre no 5 109 |
En tout les cas, cela mérite toute notre attention, car contrairemnt à ce qui pouvait se croire, OSx n'est pas exempt de risques : le risque 0 n'existant pas de toute façon.
Et comme déja dit, la majorité des profils sont "administrateurs", car c'est le profil par défaut lors de l'installation de Mac Os. Il serait de bon ton lors de l'installation de le signaler, voire même de créer autiomatiquement un 2ème compte non Admin et de lancer ensuite OSx sur ce compte lors de la 1ère installation. Idem dans Safari, de désactiver par défaut l'ouverture des fichiers, même si cela n'empêche pas l'éxécution après coup. Il serait bienvenu qu'Apple réagisse, de façon à éviter l'éxécution d'une commande via le terminal sans en prévenir l'utilisateur. Ca doit pas être très difficle à implémenter ..... Je suis persuadé que le fait que Mac Osx soit dorénavant dispo sur les plateformes x86 va accentuer l'apparition de virus et assimilés, car l'installation de Mac Osx étant accessibles sur x86, les développeurs de virus n'auront pas à acheter de matériel spécifique pour tester la vulnérabilité du système. Et bon nombre de petits malins vont s'en donner à coeur joie, malheureusement pour les utilisateurs Alors que Windows subit des virus quasiment tous les jours, un nombre énorme d'utilisateurs (+ de 50% et même des entreprises) n'utilisent ni antivirus (ou alors ne font pas les MAJ) ni firewall. Les gens qui achètent un Mac veulent aussi la tranquilité, et sont souvent et de plus en plus des utlisateurs sans connaissance approfondie de l'info, et de plus ne consultent pas les forums comme Macbidouille tous les jours. J'en connais des switcheurs, et franchement ils ne prennent aucune précaution, donc il serait e bon to qu'Apple réagisse. Ce message a été modifié par lobo71 - 21 Feb 2006, 20:27. |
|
|
Guest_anonym_f196b720_* |
21 Feb 2006, 20:20
Message
#21
|
Guests |
CITATION(claudebbg @ 21 Feb 2006, 20:04) [snapback]1567190[/snapback] Et il y a toujours notre ami Firefox qui s'en sort comme un chef. Faux ! Tout comme décocher l'option dans Safari ne résout pas le souci. Au final tu as toujours une archive sur ton bureau, qui, montée, te donne l'impression de ne contenir qu'une bête image et quand tu double-cliques dessus, au lieu d'afficher un jpeg, tu lances un script. C'est encore pire avec Safari + option cochée, mais le problème est là même si le dmg t'a été envoyé par mail où que tu l'as téléchargé par ftp ou autre. |
|
|
21 Feb 2006, 20:21
Message
#22
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 363 Inscrit : 31 Mar 2003 Lieu : GB Membre no 6 909 |
Heu...
Moi je l'ai jamais touchée, et cette option est décochée. Donc elle doit être inactivée par défault, non? Si cela ne tenait qu'à moi ce genre d'options n'existerait pas. Plus inquiétant, le petit programme qui permettra de l'activer sans que l'utilisateur le sache.... Et cela ne demande pas de mot de passe... PS pour comprendre la menace: je refais le même type de fichiers en partant d'un document vierge dans BBEdit (contient: /bin/ls + echo tralala), je change l'icone par un copier/coller, je change l'application utilisée pour l'ouvrir, et: çà ne marche pas. Le terminal revient au premier plan, mais je ne vois pas de nouvelle fenêtre avec tralala s'afficher. Donc je suppose qu'il faut être moins ignorant que moi en info (ok, pas dur) pour créer ce genre de fichier. -------------------- Certains humains tendent à écrire comme sur leurs téléphones. Certains téléphones auraient-ils tendance à écrire comme des humains lorsqu'ils communiquent? (le téléphone:"je ne comprends rien à ce que mon propriétaire raconte").
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste Tchack-poum-poum... |
|
|
21 Feb 2006, 20:30
Message
#23
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 8 888 Inscrit : 27 Nov 2004 Membre no 27 732 |
Switcheur venant de Windows j'ai appris une chose ; ne jamais utiliser le navigateur internet adapté spécialement par l'éditeur de l'OS. Ce n'est pas le premier problème dû à Safari : Les Widgets et des Apple Scripts avaient déjà fait parler de lui.
En plus Mozilla nous a concocté une petite merveille dans ce domaine que pour nous ! Mac OS soufre d'un défaut de tous les OS modernes (sauf peu-être Linux) l'automatisation trop poussée des taches. On est à la fois demandeur de plus de fonctionnalité et de sécurité. C'est incompatible Ce message a été modifié par switcheremac - 21 Feb 2006, 20:34. -------------------- MATOS:Mac Mini Core I7 / Samsung Note 8 / Acer E3 FAI : Bouygues ......Tablets :Tablet User
|
|
|
21 Feb 2006, 20:32
Message
#24
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 352 Inscrit : 12 Dec 2002 Lieu : PUTEAUX 92 Membre no 5 109 |
En tou les cas, pour l'instant mais ce n'est qu'une protection temporaire :
déplacer l'appli Terminal du dossier Utilitaires Car rien n'empêche de scanner le disque afin de trouver cette appli, voire même de l'implémenter dans le fichier. Déplacer Terminal aura t'il des incidences sur les logiciels qui utilisent le teminal comme les ToolsX ou autres ? |
|
|
21 Feb 2006, 20:37
Message
#25
|
|
Adepte de Macbidouille Groupe : Membres Messages : 49 Inscrit : 22 May 2004 Membre no 19 072 |
CITATION(bapts @ 21 Feb 2006, 19:50) [snapback]1567166[/snapback] comme le souligne tonton Grouiky chez vos amis de Mac4Ever, un script de shell n'est pas plus dangereux que le précédent soit-disant virus... tant qu'on ne fournit pas de mot de passe administrateur... Sauf si il remplace le programme qui demande le mot de passe, ou si il ouvre un accès à distance... |
|
|
21 Feb 2006, 20:40
Message
#26
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 352 Inscrit : 12 Dec 2002 Lieu : PUTEAUX 92 Membre no 5 109 |
CITATION ' date='21 Feb 2006, 19:52' post='1567169'] Par défaut les archives (dmg, zip, etc.) devraient être montées en mode "noexec", "nosuid" et "rdonly". De même l'installation par défaut d'OSX devrait inclure des partitions correctement montées, et les répertoires des dossiers utilisateurs devraient également avoir des modes particuliers (noexec pour Documents, images, nosuid pour scripts, etc.). Ok pour ça, je trouve que c'est une bonne solution. CITATION En parlant de fichiers fiables, Apple ne devrait accepter _que_ des fichiers signés numériquement par un certificat approuvé par l'utilisateur (ou un compte administrateur). Par contre là, ça tient du délire, impossible à mettre en oeuvre sinon tu ne pourras même plus télécharger une image sur le web, autant dire c'est la fin d'internet. Je ne compte plus le nombre de fois où j'ai été sur internet récupérer des infos et téléchargé des fichiers ou des images. CITATION(ribwund @ 21 Feb 2006, 20:37) [snapback]1567243[/snapback] CITATION(bapts @ 21 Feb 2006, 19:50) [snapback]1567166[/snapback] comme le souligne tonton Grouiky chez vos amis de Mac4Ever, un script de shell n'est pas plus dangereux que le précédent soit-disant virus... tant qu'on ne fournit pas de mot de passe administrateur... Sauf si il remplace le programme qui demande le mot de passe, ou si il ouvre un accès à distance... Ou si le compte est un compte admin ... ce qui est le cas de la majorité des mac users ..... Ce message a été modifié par lobo71 - 21 Feb 2006, 20:43. |
|
|
Guest_anonym_f196b720_* |
21 Feb 2006, 20:53
Message
#27
|
Guests |
CITATION(lobo71 @ 21 Feb 2006, 20:40) [snapback]1567246[/snapback] CITATION En parlant de fichiers fiables, Apple ne devrait accepter _que_ des fichiers signés numériquement par un certificat approuvé par l'utilisateur (ou un compte administrateur). Par contre là, ça tient du délire, impossible à mettre en oeuvre sinon tu ne pourras même plus télécharger une image sur le web, autant dire c'est la fin d'internet. Je ne compte plus le nombre de fois où j'ai été sur internet récupérer des infos et téléchargé des fichiers ou des images. OK il faut pouvoir télécharger des fichiers qui ne sont pas signés. Mais dans ce cas il ne faut pas que l'utilisateur puisse penser que ce fichier est _fiable_ Or Apple laisse croire à l'utilisateur lambda qu'il surfe en toute sécurité avec cette case cochée, alors que ce n'est pas le cas. Un homme averti... Edit : quand tu télécharges une image ou un fichier texte, ce fichier est associé avec l'application par défaut pour ce type de fichier. Donc Aperçu ou TextEdit, et donc il n'y a pas de souci. Le problème avec notre image disque, c'est que l'application utilisée pour ouvrir le fichier est celle qu'a choisi le créateur de l'archive (par exemple le terminal). Si au moins OSX prévenait que l'application qui sera lancée n'est pas celle qui est 'recommandée'... Ce message a été modifié par anonym_f196b720 - 21 Feb 2006, 21:00. |
|
|
21 Feb 2006, 20:59
Message
#28
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 407 Inscrit : 23 Jan 2005 Membre no 31 434 |
C'était à prévoir, je cherche pas à me faire des ennemis, mais je pense qu'on va à grand pas vers un OSX de moins en mois sûr et tranquille...
|
|
|
21 Feb 2006, 21:04
Message
#29
|
|
Adepte de Macbidouille Groupe : Membres Messages : 48 Inscrit : 13 Dec 2004 Membre no 28 799 |
CITATION(1010 @ 21 Feb 2006, 20:05) [snapback]1567193[/snapback] Je concois que ca pose un probleme de securité. Maintenant, un rm -rf * c'est aussi tres dangeureux (d'ailleurs evitez le copier/coller pour tester) mais est-ce pourtant une faille critique ? EDIT : ceci etant, c'est dommage qu'Apple se base du l'extention d'un fichier et pas sur son type (avec 'file' par example) pour la securité comme pour les icones par examples. Heuu, je prefere un SUDO RM -rf /* qui est bien plus mechand ou mieux: SUDO DD if=/dev/null of=/dev/disk0 qui est un vrai buldozer sans posibilite de recuperation par undelete. ( les commandes sonr en minuscule, et pas en majuscule, juste pour eviter tiut copier coller ...) Thor |
|
|
21 Feb 2006, 21:05
Message
#30
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 085 Inscrit : 22 Jun 2005 Lieu : Toulon Membre no 41 331 |
CITATION(Hi_RAM @ 21 Feb 2006, 19:43) [snapback]1567148[/snapback] CITATION(Lyric_Fiend @ 21 Feb 2006, 19:37) [snapback]1567130[/snapback] euh c'est pas désactivable cette option d'ouverture automatique? il sufisait de lire l'info... CITATION il suffit dans les préférences générales de Safari de décocher l'option "Ouvrir automatiquement les fichiers "fiables"". J'ai fait le test sous Firefox que j'utilise... rien... j'ai lancé Safari... comme une lettre à la poste... au temps pour moi en effet, la fatigue surement... -------------------- |
|
|
Nous sommes le : 25th April 2024 - 09:07 |