Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: Slashdot

Slashdot meldt dat de met Mac OS X 10.1 meegeleverde versie van Microsoft's Internet Explorer 5.1 een behoorlijk veiligheidslek bevat. Elke keer wanneer IE een .hqx file (Macintosh executable) download, wordt het gedownloade programma meteen gestart. internet explorer 5.1 mac Om het de verspreiding van backdoors en en andere nare, schadelijke programma's niet al te makkelijk te maken, is het raadzaam om de opties 'Automatically decode BinHex' en 'Automatically decode MacBinary' uit te schakelen.

Moderatie-faq Wijzig weergave

Reacties (32)

Vaag bericht. Een .hqx is helemaal geen executable. Net als een .sit is het een gecomprimeerd bestand (soort zip). En ook onder OS 9.2.1 worden die standaard door IE5 uitgepakt. Niks aan de hand dus. De eventuele applicaties die ingepakt zaten worden niet automatisch geopend.

Om dit nu een GROOT VEILIGHEIDSLEK te noemen lijkt me zwaar overdreven. Ookal opent IE5.1 onder OSX de uitgepakte applicaties wel, dan is het risico nog niet zo groot, want zoveel virussen ed zijn er gelukkig (nog) niet voor de mac.
Ik reply mezelf even.

Ik heb het uitgezocht en IE5 in MacOS X pakt niet alleen de .hqx bestanden uit maar opent de eventuele executables ook. Dit is natuurlijk een grote fout van Microsoft.

Maar, aan de andere kant, waarom zou je iets downloaden om het vervolgens nooit te openen?

(link: http://www.macintouch.com/mosxreaderreports52.html
scroll naar ongeveer 2/5 van de pagina)
Maar, aan de andere kant, waarom zou je iets downloaden om het vervolgens nooit te openen?
Eh... kom jij nooit op die sites waar ze van die verschrikkelijk irritante windows op je scherm duwen. Zo kan je ook een download forceren... je hoeft maar even te snel te klikken en hebt een applicatie gestart.
Die zelfcontrolerende instelling, of gebrek aan, is altijd het grootste beveiligingslek. Lijkt me dat het zo eenvoudig is om een trojan kan verpakken als 'klik hier voor de 'kat' van Britney".
Waar moet ik klikken, waar moet ik klikken, je hebt helemaal geen linkje daar, editen en toevoegen svp!!!
;) :D
Een binhex-bestand wordt in de nieuwste versie van IE voor MACOS X automatisch uitgepakt en daarna geopend. Als het een docje is wordt het geopend met Word en als het een programma is wordt het gestart. Zo kan dus heel eenvoudig een Back Orifice-achtig programma worden geinstalleerd waarmee iedereen op je computer kan gaan lopen klooien of iemand kan met een eenvoudig Visual Basic-programma schrijven om je bestanden mollen. Dit lijkt me een groot risico, je hoeft maar naar een site te gaan die automatisch een download start en je bent de pineut.

//Ik leg uit hoe het echt zit, krijg ik een flamebait! De foutieve post van The Dolf krijgt score 3: informatief. Ben ik de enige die het niet meer begrijpt?
nee
Bij mij pakt ie alleen alles uit. Openen heeft ie nog nooit gedaan.

En als je dit had gelezen
'Automatically decode BinHex' en 'Automatically decode MacBinary'
Waar staat dat ie automatisch executeables opent?
Op Slashdot staat het volgende:
that Internet Explorer 5.1, which comes preinstalled on MacOS X 10.1, has a huge security hole---when it downloads arbitrary programs encoded in the Macintosh's standard BinHex (.hqx) format, it automatically executes them.
Programma's, opgeslagen als BinHex .hqx bestand, worden na de download dus uitgepakt en opgestart.

Binhex is alleen een formaat om iets in te pakken, zo'n bestand kan in principe nooit worden gedraait.

PS. Dit veiligheidslek zit dus niet in de Explorer die onder MacOS X 10.0 is geinstalleerd.
offtopic:
Als IE onder MacOS X draait, wat draait op een BSD microkernel. Dan moet het na een mooie hercompile ook wel te draaien zijn op elke andere *NIX variant.
Als ze er dan geld voor vragen zouden er best veel mensen zijn die het dan kochten. Want IE is nog wel de beste browser die er is.
Duh, ieder programma draait na een hercompile op ieder OS :+
Duh, Da's dus absoluut ende permanent niet waar.

Als een programma OS specifieke calls doet draait het echt niet op een heel ander OS.
Want IE is nog wel de beste browser die er is.
Technisch gezien vind ik mozilla beter, zeker onder UNIX, daarnaast heeft IE dan niet meer het voordeel dat het automatische tijdens de startup wordt geladen en altijd in het geheugen zit..

Het enige voordeel van IE was zn snelheid (ook al weer weg met mozilla quicklaunch) en zn ondersteuning van html-incompatible ms-pagina's..

Op de mac zou ik gewoon mozilla draaien iig
IE voor de Mac is niet te vergelijken met IE voor Windows of Unix. IE voor de Mac is de enigste browser die uit het beta stadium is en vrijwel alle standaarden ondersteunt.

Het is een totaal verschillend product, van de grond af opgebouwd door een ander ontwikkelteam.

Mozilla is zeker een sterke browser tov IE win32 of Opera, maar IE5 voor de Mac is echt heel goed.
Erhm, BikkelZ -> Mac OS X 10.1 (waar dit artikel over gaat) == Unix.
Dus IE voor Mac OS X 10.1 is wel degelijk een IE voor Unix.
Ehrm, Warp -> Mac OS X 10.1 (waar dit artikel over gaat, en dus niet over Unix in het algemeen) == Unix + een boel API's die niet onder Unix bestaan, waaronder carbon, waarin deze applicatie is geschreven. Je kunt deze carbon versie ook draaien op MacOS 9 zonder hercompilatie.

Dus IE voor MacOS X 10.1 is eigenlijk gewoon een IE voor MacOS 9 en hoger, en zal nooit of te nimmer op gewone Unix systemen draaien.
BikkelZ, haal Mach & BSD maar eens weg uit Mac OS X, mooi dat IE en die Carbon API's dan helemaal niets meer doen ;)

Slimme Mac OS X'ers gebruiken natuurlijk OmniWeb (is tenminste ook Mac OS X native), zie: http://www.omnigroup.com :)
Sorry ik had je reply ff verkeerd geinterpreteerd, MacOS X is idd ook een soort Unix, maar je hebt ook IE4 voor Unix, en die is weer wel gebaseerd op de windows versie.

Het lijkt trouwens wel dat Maccers betere browsers krijgen als Windows gebruikers, met Omniweb en IE5/Mac :)
nee, want msie draait niet op de kernel maar onder Acqua met behulp van Carbon, die draaien weer via 1 van 2 Quartz layers (Quartz 2D en Quartz 3D, in dit geval waarschijnlijk de verder geevolueerde Quartz 2D), de interface-layer via Cocoa.

die moet je dus allemaal porten, en in tegenstelling tot Darwin, de op freeBSD gebaseerde kernel zijn deze allemaal niet open, ondanks dat er wel makkelijk aan te komen. maar ook dan zit je met een illegale port, die je enkel voor eigen gebruik van toepassen en niet distribueren.
Apple denkt er wel over om deze open source te gooien, maar dan met clausule in de license dat geen port naar intel's gedistribueerd mag worden (tja, Apple staat nog altijd mijlenver van begrip van de open source community, ze think-en nou eenmaal different)

overigens een heel hardnekkig gerucht dat ik onlangs opving (maar twijfel of het geen hoax is), is dat Apple voor de chinese markt OS-X zou gaan porten naar intel's om zo een goedkoper product te kunnen aanbieden, echter ook deze zijn enkel bestemd voor de chinese markt en mogen niet ge-exporteerd worden, bovendien kan ik geen chinees lezen
't is maar wat je een lek noemt. Je kiest er toch zelf voor om deze opties zo te kiezen?
Veel mensen weten niet eens dat die optie erinzit en al helemaal niet dat 'ie ook UIT kan. Hij staat standaard aan namelijk.

dus: Het lek is niet dat die optie bestaat, maar dat 'ie standaard aanstaat.

En natuurlijk zou het wel handig zijn als IE op zijn minst even zou vragen of je dat prog ook wilt executen zoals in windhoos ook gebeurd.
Dit doet mij erg denken aan het beveiligingsprobleem dat IE voor Windows had (MS01-020) waarmee door van een MIME-type gebruik te maken code gedraaid kon worden.
IMHO is dit dus niet zomaar een probleem, het maakt nog eens duidelijk dat security helemaal geen prioriteit heeft bij Microsoft (nog steeds niet dus). Anders hadden ze deze fout er wel uitgehaald toen ze bezig waren met het fixen van MS01-020.
Dit is een hele ernstige. Stom dat het standaard aan staat en goed dat het uit te zetten is.
Wel raar dat zoiets door de testen komt! Ik bedoel als ik zoiets zou doen op m'n werk (slecht testen of echt slecht programmeren) dan krijg ik echt een heeele hoop gezeik.

Hoewel, als iemand in het functioneel ontwerp een fout heeft gemaakt.. kan de programmeur er natuurlijk ook nix aan doen..

Maar met een beetje gezond verstand vallen zulke dingen wel te voorkomen
Dit slaat helemaal nergens op. Heeft niks te maken met de versie van MacOS en ook niet met de versie van IE (kan in eerdere versies ook). Een hqx is een gecomprimeerd bestand en niet een "executable", dat na de download - als je dat wil - automaties uitgepakt kan worden (door Stuffit Expander).
Dat kan elk soort file zijn. En als het een applicatie of script is start die niet vanzelf op. Er is hier helemaal geen LEK.
waarschijnlijk een niet al te snuggere programmeur!! Nah ik denk dat er zo'n grote tijdsdruk is bij die programmeurs dat ze te weinig tijd krijgen om de software goed te testen!! dus doen ze het slordig!! :(
Programmeurs hebben zowiezo de taak niet om software te testen. Als het compiled en runt, werkt het. Daar eindigt de taak van de programmeur.

De hoofd-programmeur had uberhaubt niet moeten zeggen dat deze feature automatisch ingeschakeld moest zijn. En de beta-testers hadden beter uit hun doppen moeten kijken.

Maar om nou gelijk van tijdsdruk te spreken vind ik een beetje raar. MS heeft er absoluut geen baat bij als hun nieuwe IE een week eerder of later klaar is. Het is gewoon een kwestie van geen geld overhebben voor goeie testing bij MS.

Apple staat hier trouwens volledig buiten, maar dat was al gezegd.
Programmeurs hebben zowiezo de taak niet om software te testen. Als het compiled en runt, werkt het. Daar eindigt de taak van de programmeur.
Hmm, das wel erg zwart wit. Ik hoef het in ieder geval niet te flikken op mijn werk als ik iets nieuws geschreven heb. De taak van de programmeur is om een goed functionerend en zelf getest onderdeel af te leveren. Daarna gaat het een interne test fase waarin een hoop feedback ontstaat waardoor de programmeurs weer aan de slag moeten waarna er weer opniew getest moet worden. Dit kost ontzettend veel tijd en kan oneindig door blijven gaan als je er geen iend aan breid.

Dus mischien geval zat het er in de eerste test runs niet in, aangezien de testers in de laatere testruns niet weer hetzelfde willen testen en waarschijnlijk alleen de wijzigingen gaan testen is het best mogelijk dat ze het over het hoofd gezien hebben. Mischien dat een programmeur er tijdens het testen een hekel aan had om steeds op yes te moeten drukken en het toen uit gezet heeft oid.

De hoofdprogrammeur had nog 1001 andere dingen aan z'n hoofd en wist hier waarschijlijk niets vanaf.

Zolang er software wordt geschreven zullen dit soort dingen op blijven treden, niet alleen bij MS alleen daar zijn ivm veiligheid (virussen) de laatste tijd de gevolgen meteen een stuk groter en verschijnen er ook direct van dit soort berichten.
Dat is een kledingbedrijf

edit:

goede modereters hier.
nou ben ik een keer serieus

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True