PDA

Visualizza Versione Completa : aihmè, un bug di sicurezza OS 10.4.5 (file zip e jpg)



flashcream
21-02-06, 18:57
è dovuto ad un erronea lettura dei metadati in un file .zip quando lo espandiamo

scoperto da secunia: http://secunia.com/advisories/18963/
(allego anche screen shot)

http://www.tuttologia.com/forumtutor/uiop1.jpg

(cliccate e fate il test.... :lol:)

purtroppo nel file zip è inseribile del codice che scaricato si esegue automaticamente (se scaricato con safari)....

potenzialmente potrebbe fare danni (magari non mortali, ma spiacevoli si)

la soluzione al momento è questa: disabilitare "apri documenti sicuri" in pref. safari/generale

8)



edit: anche mail con gli allegati jpg (finti allegati, ma come tali riconosciuti)..... vedere post a seguire

Mac 4 Life
21-02-06, 19:22
Grazie, l'avevo letto anch'io su Macbytes.com che faceva riferimento ad questo articolo. (http://www.heise.de/english/newsticker/news/69862)

Si consigliano Firefox o Camino immuni dal bug di sistema. :roll:

pippi
21-02-06, 19:22
VULNERABILE ! :-o

radapple
21-02-06, 19:41
Grazie flash,ho disabilitato "apri documenti sicuri" scaricato il file zippato, ma il test è andato a buon fine ugualmente :?

Roccia
21-02-06, 20:59
ho disabilitato apri file sicuri, ma non riesco a capire se sono o no vulnerabie....dopo aver cliccato il link che flash indica nello screenshot mi fa il download e nient'altro succede....cosa significa?

radapple
21-02-06, 21:04
apri lo zip dovrebbe..........prova :(

Roccia
21-02-06, 21:05
apri lo zip dovrebbe..........prova :(

lo zip mi si è aperto....azz!!vuol dire che mi ha vulnerato??

Kratork
21-02-06, 21:23
ancora?

apri documenti sicuri da me è disabilitato da secoli, dovrebbe esserlo su tutti i mac sin da quel di in cui si scoprì la vulnerabilità che usava i dmg per aprire aiuto mac e poi far danni (il peggio che si poteva fare era cancellare tutto il contenuto dell cartella utente...)

si parla di panther... periodo 10.3.3 mi pare :roll:

radapple
21-02-06, 21:24
no io ho disabilitato,scompattato lo zip,cliccato sul file.mov,evvai di terminale :?

ps. scusa flash mi sono spiegato male io :oops:

Roccia
21-02-06, 21:51
scusate, ma non ho avuto risposta, quindi richiedo: ho scaricato il test, mi è comparso uno zip sulla scrivania, poi ho doppio cliccato sullo zip e mi si è aperto, mi è comparso un file quick; aprendo questo file sono venuti fuori terminale e una calcolatrice. Cosa significa tutto ciò? Che sono vulnerabile?

Mac 4 Life
21-02-06, 22:05
scusate, ma non ho avuto risposta, quindi richiedo: ho scaricato il test, mi è comparso uno zip sulla scrivania, poi ho doppio cliccato sullo zip e mi si è aperto, mi è comparso un file quick; aprendo questo file sono venuti fuori terminale e una calcolatrice. Cosa significa tutto ciò? Che sono vulnerabile?

Sì. :?

Rollei
21-02-06, 22:10
a quando un aggiornamento? :???:

Mac 4 Life
21-02-06, 22:15
Intanto, se usi Firefox o Camino il file scaricato non si apre.

Fai mela + i per vedere di cosa di tratta realmente, anche se l'estensione è .mov e l'icona è quella di un filmato leggibile da QuickTime.

Mela + i sul file test, per esempio, dice «documento Terminale». ;)

Nemesis
22-02-06, 12:58
scusate, ma non ho avuto risposta, quindi richiedo: ho scaricato il test, mi è comparso uno zip sulla scrivania, poi ho doppio cliccato sullo zip e mi si è aperto, mi è comparso un file quick; aprendo questo file sono venuti fuori terminale e una calcolatrice. Cosa significa tutto ciò? Che sono vulnerabile?

Salve, ad oggi nessun update sicurezza da parte di Apple e quindi il modo migliore per essere sicuri è quello di impedire ad un utente di usare il Terminale quindi impostare a /dev/null la sua shell: infatti, se la shell è comunque sempre /bin/bash (quella di default), l'utente potrà sempre usare un'altra applicazione che faccia le veci del Terminale, o fare un login remoto (se ssh è attivo) e avere comunque a disposizione una linea di comando. Invece, impostando a /dev/null la shell dell'utente, questi non avrà a disposizione, in nessun caso, una shell dalla quale operare. Questa impostazione si fa tramite Gestione NetInfo.

flashcream
22-02-06, 14:28
c'è una soluzione ancora più semplice

basta spostare il terminale dalla cartella applicazioni (applicazioni/utility) e metterlo dove si vuole, aspettando il rilascio di un security update

non succede più nulla in quanto niente può più essere eseguito arbitrariamente e soprattutto automaticamente :)

rifate il test... :D

ps: ovviamente se ci cliccate sopra due volte al file .mov scaricato è come prima ma vi sarete già accorti che non è un mov (infatti QT non lo riconosce)

radapple
22-02-06, 14:48
Grazie a tutti :D :smt023

kamaferro
22-02-06, 17:14
c'è una soluzione ancora più semplice

basta spostare il terminale dalla cartella applicazioni (applicazioni/utility) e metterlo dove si vuole, aspettando il rilascio di un security update

non succede più nulla in quanto niente può più essere eseguito arbitrariamente e soprattutto automaticamente :)

rifate il test... :D

ps: ovviamente se ci cliccate sopra due volte al file .mov scaricato è come prima ma vi sarete già accorti che non è un mov (infatti QT non lo riconosce)

Flashcream,

ho appena letto questo in rivista inglese e poi visto vostri posts qui. Si suggerisce di non usare computer come administrator ma come ulteriore user.

Potresti spiegarmi cosa dici del test, non capisco, non vorrei incasinarmi, non capisco cosa significa spostare terminale etc............

Grazie

Vulnerability discovered in Mac OS X and Safari 11:48AM
A vulnerability has been discovered in Mac OS X and Safari, which can be exploited to severely compromise a user's system. Secunia has rated the vulnerability as extremely critical.

The vulnerability is caused by an error in the processing of file association meta data (stored in the '__MACOSX' folder) in zip archives. This can be exploited to trick users into executing a malicious shell script renamed to a safe file extension stored in a zip archive. For instance a shell script that deletes your entire Home folder could be disguised as a jpeg and then 'hidden' inside a zip archive.

The vulnerability can be closed by turning off 'Open "safe' files after downloading' in Safari's preferences and by not opening any zip archives from untrusted or unknown sources. In addition, security is only compromised if you are working in Administrator (or root) mode. Security experts recommend only logging in as an Administrator when necessary - to install software for instance - and creating a non-admin account for day-to-day work.

kamaferro
22-02-06, 17:17
scusate, ma non ho avuto risposta, quindi richiedo: ho scaricato il test, mi è comparso uno zip sulla scrivania, poi ho doppio cliccato sullo zip e mi si è aperto, mi è comparso un file quick; aprendo questo file sono venuti fuori terminale e una calcolatrice. Cosa significa tutto ciò? Che sono vulnerabile?

Salve, ad oggi nessun update sicurezza da parte di Apple e quindi il modo migliore per essere sicuri è quello di impedire ad un utente di usare il Terminale quindi impostare a /dev/null la sua shell: infatti, se la shell è comunque sempre /bin/bash (quella di default), l'utente potrà sempre usare un'altra applicazione che faccia le veci del Terminale, o fare un login remoto (se ssh è attivo) e avere comunque a disposizione una linea di comando. Invece, impostando a /dev/null la shell dell'utente, questi non avrà a disposizione, in nessun caso, una shell dalla quale operare. Questa impostazione si fa tramite Gestione NetInfo.


Scusami NEmesis, ma non capisco ninete di quello che dici, sono proprio a zero di queste cose, potresti essere più semplice ?ù

Grazie

avrobay
22-02-06, 17:20
L'Oroscopo consiglia di... rilassarsi! :)

flashcream
22-02-06, 17:32
L'Oroscopo consiglia di... rilassarsi! :)

e per tutti e 12 i segni... l'ho letto anch'io :lol: :lol: :lol:

radapple
22-02-06, 17:35
Ciao kamaferro succede questo,
http://img61.imageshack.us/img61/6492/immagine14tq.png (http://imageshack.us)

io ho spostato il terminale nella cartella home.

mii sono fuso :oooops:

Nemesis
22-02-06, 17:37
Scusami NEmesis, ma non capisco ninete di quello che dici, sono proprio a zero di queste cose, potresti essere più semplice ?ù

Grazie

Ciao, mi sembra abbastanza chiaro, visto anche il post di flashcream, che per immunizzarsi, in attesa di una patch da parte di Apple, basta non far eseguire da chiunque l'applicazione "Terminale", quindi o lo sposti da dove è, come suggerito da flashcream o lo disabiliti come suggerito da me.
Ambedue le cose vanno comunque ripristinate prima di un aggiornamento da parte di Apple.

Notizia dell'ultimo minuto, un'altra soluzione consiste nel tenere sempre il terminale aperto, magari metterlo tra gli elementi di login, in quanto lo script malevolo attiva il Terminale ma non viene eseguito.

kamaferro
22-02-06, 18:12
Scusami NEmesis, ma non capisco ninete di quello che dici, sono proprio a zero di queste cose, potresti essere più semplice ?ù

Grazie

Ciao, mi sembra abbastanza chiaro, visto anche il post di flashcream, che per immunizzarsi, in attesa di una patch da parte di Apple, basta non far eseguire da chiunque l'applicazione "Terminale", quindi o lo sposti da dove è, come suggerito da flashcream o lo disabiliti come suggerito da me.
Ambedue le cose vanno comunque ripristinate prima di un aggiornamento da parte di Apple.

Notizia dell'ultimo minuto, un'altra soluzione consiste nel tenere sempre il terminale aperto, magari metterlo tra gli elementi di login, in quanto lo script malevolo attiva il Terminale ma non viene eseguito.

Nemesis,

ricapitolo se ho ben capito, io ho sistema in inglese:

dentro Applications/Utilities c'è application chiamata TERMINAL ( ma a cosa serve per curiosità questa application ?) la sposto dove voglio ( non crea problemi giusto e la tengo lì fino a che non ci sia un nuovo aggiornamento, poi la rimetto dov'era.

Così facendo il test di cui si parlava non dovrebbe far apparire "calculator".


Bisogna sempre disabilitare apertura files automatica da Safari pref ?
Giusto ?

Lìaltro metodo di cui parlavi tu non sono molto afferrato.

Nemesis
22-02-06, 23:40
ricapitolo se ho ben capito, io ho sistema in inglese:

dentro Applications/Utilities c'è application chiamata TERMINAL ( ma a cosa serve per curiosità questa application ?) la sposto dove voglio ( non crea problemi giusto e la tengo lì fino a che non ci sia un nuovo aggiornamento, poi la rimetto dov'era.

Così facendo il test di cui si parlava non dovrebbe far apparire "calculator".


Bisogna sempre disabilitare apertura files automatica da Safari pref ?
Giusto ?

Lìaltro metodo di cui parlavi tu non sono molto afferrato.

Ciao, si esatto, il vero nome è Terminal, lo sposti dove vuoi tu, nella tua home, nel desktop ecc... e tale azione non crea alcun problema, è importante invece che tu la rimetta al suo posto in Applications -> Utilities prima di effettuare un qualsiasi aggiornamento Apple.
Questa azione non permette l'esecuzione di uno script che utilizzi il terminale quindi sei praticamente immune da questo pseudo-virus.

Il terminale è una shell *nix (Unix/Linux) che permette di fare una moltitudine di cose, cancellare file, muovere file, eseguire comandi ecc... praticamente diciamo che è simile al Prompt DOS di winzozz ;-) Ovvio che se non lo conosci meglio lasciarlo stare, potresti fare danni irreparabili specie se esegui comandi con poteri di root.

Anche per l'altro metodo di cui parlavo, l'uso di Gestione NetInfo, quello che si utilizza ad esempio per abilitare l'utente root, meglio non toccare nulla se non si sa bene cosa si sta facendo, potresti creare grossi scompensi al sistema.

Queste azioni non permettono l'esecuzione dello script che fa aprire Calculator.

E' anche consigliato disabilitare in Safari l'apertura di documenti "sicuri".

flashcream
23-02-06, 18:55
apperò.... non solo safari e i files zip

adesso anche mail con gli allegati jpg (in apparenza jpg)......

http://www.heise.de/english/newsticker/news/69919


In addition to attacks via the Safari web browser, Apple Mail also executes scripts without asking in certain circumstances.

It suffices to disguise a script with the ending "jpg" and assign the Terminal application for opening it. If this script is then sent in the AppleDouble format as an attachment, the information is passed along so that the recipient's system also opens it with the Terminal. Apple Mail displays the attachment with a JPG file symbol, but when users click on it, the script executes within Terminal without further prompting. This has been tested on Apple Mail 2 and Mac OS X 10.4.

:???: :???: :???:

sarebbe meglio uscisse qualcosa.... infondo basta poco (immagino)... per
sistemare questo bug (che solo tiger ha)