Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 86 reacties
Bron: VNUnet

Een ongeluk komt nooit alleen: kort na de eerste twee meldingen van virussen voor Apples OS X, is nu een veiligheidslek opgedoken dat Mac-gebruikers blootstelt aan malware. Het probleem zit in de manier waarop zip-bestanden worden verwerkt, omdat dergelijke archieven door het besturingssysteem sinds versie 10.4 als inherent veilig worden beschouwd. Een script dat in de metadata van het archief is verstopt, wordt daarom uitgevoerd zonder dat er om een beheerderswachtwoord wordt gevraagd. Hackers zouden Mac-computers met speciale websites in de luren kunnen leggen, maar ook het opslaan van een zip-bestand met een virus zou direct fataal kunnen zijn, zelfs als het archief niet geopend wordt.

Appelmoesetiket Secunia noemde het beveiligingslek in eerste instantie 'extreem kritiek', maar publiceerde daarnaast wel de mededeling dat het probleem verholpen kan worden door de 'autorun'-feature van Safari uit te zetten. Inmiddels is echter uit onderzoek van het SANS Internet Storm Center gebleken dat deze maatregel geen afdoende beveiliging biedt, en de site Heise Online liet zelfs zien hoe een e-mailbericht het lek kan misbruiken. Momenteel lijkt de enige oplossing het verplaatsen van de Terminal-applicatie van OS X, waarvan een exploit gebruik moet kunnen maken. Waarom de bug naar buiten is gebracht voordat Apple met een fix kon komen is nog niet duidelijk, maar naar verluidt werkt het bedrijf wel aan een oplossing. Vooralsnog onthoudt de computerbouwer zich in elk geval van commentaar.

Moderatie-faq Wijzig weergave

Reacties (86)

Toch wel weer grappig om te zien hoe simpel sommige mensen zijn. In de reacties op mijn post bij de Bluetooth bug werd ten stelligste beweerd dat dingen als virusscanners/firewalls overbodige luxe waren op de mac, omdat de situatie die ik geschetste nooit zou kunnen. Er waren immers nauwelijks virussen/exploits. En zo waar, wat is dit :).

Ik blijf er bij: Voorkomen is beter dan genezen!

En tja, hoe meer gebruikers hoe interessanter het doel voor hackers. Een bankovervaller zal toch ook eerder gaan voor een bank waar miljoenen aanwezig zijn, dan de boerenbank in lutjebroek waar 2x in de week iemand geld komt opnemen en storten.
Het probleem zit in de manier waarop zip-bestanden worden verwerkt, omdat dergelijke archieven door het besturingssysteem sinds versie 10.4 als inherent veilig worden beschouwd.
Aan welk besturingssysteem doet me dat denken :+
Populariteit bij software is niet de enigste reden waarom dat platform word aangevallen. Het gaat hier trouwens niet om een ingebruik zijnde exploit maar om een gat dat gevonden is door een beveiligingsbedrijf.
Wel de enigste, niet de enige... ;)
Niet als de bank in lutjebroek veel makkelijker te overvallen is en daardoor de bankovervaller veel minder risico neemt. Kosten baten afweging.
Kosten / Baten?

Wat heeft dat met een bankoverval te maken. Het is geen bedrijfsplan wat je opstelt.
Zonder bjorntje nou voor een onhandige bankovervallen te willen uitmaken, een goed plan opstellen lijkt me zeker wel handig (geen eigen ervaring toruwens) en ik denk dat die idioten die exploits maken toch ook zeker een plan daarmee hebben, want eeuwige roem verdien je er in elk geval niet mee.
Als je in de terminal gekke dingen gaat doen dan moet je toch gewoon een wachtwoord in geven? Tenminste als ik iets raars doe in me OS X Terminal moet ik dat met sudo doen en sudo vraagt een wachtwoord.
Het gaat nu interessanter worden ;) komen veel Mac gebruikers bij.

Ooh ik heb een Mac mij kan niks gebeuren kan nu wel degelijk misbruikt worden :)
En tja, hoe meer gebruikers hoe interessanter het doel voor hackers. Een bankovervaller zal toch ook eerder gaan voor een bank waar miljoenen aanwezig zijn, dan de boerenbank in lutjebroek waar 2x in de week iemand geld komt opnemen en storten.

Banken @
http://lutjebroek.startkabel.nl/k/lutjebroek/index.php?nr=1

:Y)

Ontopic:
Klinkt opzich allemaal eng, die kritische bug (en zal best ook wel eng zijn), maar Microsoft blijft voorlopig de koppositie houden denk ik ;)
Een bankovervaller zal toch ook eerder gaan voor een bank waar miljoenen aanwezig zijn, dan de boerenbank in lutjebroek waar 2x in de week iemand geld komt opnemen en storten.
Een bank waar miljoenen mensen hun rekening hebben lopen is meestal beter beveiligd dan een boerenbankje..
Dus dat is nog te betwijfelen, ga je voor een beetje easy money, dan pakt men sneller het boerenbankje, bij de
andere grotere bank zit meer risico ;)
Belangrijk om te weten: het gaat hierbij om een trojan/exploit die gebruik maakt van een bug in het systeem. Daarnaast is het een proof-of-concept, er is nog geen software bekend die misbruik maakt van de bug.

Geen enkel OS is perfect en ook Mac OS X niet. Toch ben ik er nog steeds van overtuigd dat Mac OS X beter beveiligd is als Windows, voornamlijk vanwege de rechtenstructuur en hoe met account wordt omgegaan.

Geen enkele gewone gebruiker zal ooit de root account gebruiken, derhalve is het niet mogelijk om via een trojan zoals deze zaken in het OS te installeren of te verwijderen. Het basis OS is op die manier altijd veilig. Sommige zaken van het basis OS kunnen worden aangepast/verwijderd, maar dan nog moet op zijn minst de Administrator account gebruikt worden, die om een wachtwoord zal vragen. Men zou wel deze trojan zo kunnen aanpassen dat deze de home map wist van de huidige gebruiker, simpelweg door een regel code toe te voegen, namelijk iets als 'rm -R ~/*'. Derhalve is dit zeker een bug die Apple snel moet oplossen.

Neemt dus niet weg dat ik denk dat Windows gebruikers zeker tot Vista in het algemeen slechter af zijn, want er is gewoon een minder duidelijke scheiding van accounts.

EDIT: Veranderd dat het een systeembug is die misbruikt wordt, n.a.v. de post van Carbon hieronder.. Daarnaast '... tot en met Vista ...' veranderd in '... tot Vista ...', omdat Microsoft een verbeterde beveiliging zal hebben in Vista, vergelijkbaar met hoe de beveiliging nu geregeld is in Mac OS X.

Zie User Account Control in Vista:
When the user wants to perform a task that requires administrative privileges, such as installing an application, Windows Vista explicitly prompts the user for permission or for credentials, depending on the security policy that is chosen. This process helps ensure that malware cannot silently install on a user?s computer. Unlike Windows XP, however, standard users are not automatically blocked from performing tasks that require administrative privileges. Windows Vista explicitly prompts a standard user to enter valid credentials for a local administrator account before it will allow the standard user to perform the task.
het gaat hierbij om een trojan die gebruik maakt van een bug in Safari.
Het is geen bug in Safari! Ook in (Apple) Mail is het te reproduceren.

Meer info: http://tinyurl.com/kfcf2

Het zal me niets verbazen als Apple binnen een paar dagen een security update zal uitbrengen, tot die tijd Terminal.app verplaatsen of renamen.
Geen enkel OS is perfect en ook Mac OS X niet.
nee dat klopt maar gewoon in het OS hard coderen dat een .zip bestand per definittie veilig is is op zijn minst een flinke blunder te noemen.
dat is niet gewoon een bug maar echt een ontwerp fout als het mij vraagt.
nee dat klopt maar gewoon in het OS hard coderen dat een .zip bestand per definittie veilig is is op zijn minst een flinke blunder te noemen.
Zo simpel ligt het niet!
OSX zal normaliter nooit automatisch een in een zip verpakte executable uitvoeren, ook niet als 'Open Safe Files" geactiveerd is!

Echter wat blijkt, met een truuk (handmatig toevoegen van een 'usro' resource) is deze beveiliging eenvoudig te omzeilen.
Kan wel zijn, maar blijkbaar wordt het bestand wel als veilig aangemerkt, en er is een enkele eigenschap aan een .zip bestand waardoor je kan aannemen dat de inhoud altijd veilig is. Dus een dom uitgangspunt. Dan is het niet gek dat dat vroeg of laat een keer uitgebuit wordt.
Kan wel zijn, maar blijkbaar wordt het bestand wel als veilig aangemerkt, en er is een enkele eigenschap aan een .zip bestand waardoor je kan aannemen dat de inhoud altijd veilig is. Dus een dom uitgangspunt.
Je kunt wel zien dat je nooit met OSX gewerkt hebt.

OSX gaat er helemaal niet automatisch vanuit dat de inhoud van een .zip veilig is! De gebuiker krijgt normaal altijd een waarschuwing als een zip een executable en/of script bevat. En dan nog moet de gebruiker na het unzippen zelf de executable dubbel-klikken om deze uit te voeren.

Echter, er is hier sprake van een ernstige bug in OSX waardoor je mbv een speciaal geprepareerd bestand de ingebouwde beveiliging kunt omzeilen.
SX gaat er helemaal niet automatisch vanuit dat de inhoud van een .zip veilig is!
quote uit artical
omdat dergelijke archieven door het besturingssysteem sinds versie 10.4 als inherent veilig worden beschouwd.
de code die kan worden uitgevoert door deze fout zit in het zip bestand zelf, en niet in de bestanden die zijn ingepakt.

wel degenlijk een slordige fout in het ontwerp omdat ze er vanuit gingen dat de zip bestanden zelf geen schadelijke data kunnen bevaten (en dan heb ik het dus weer over het bestand zelf en niet wat er in het zip bestand is ingepakt)
dus met een truuk omzeil je de beveiliging, wat gemeen.

Gelukkig dat Mac users niet zo gemeen zijn, zou wel een heel onveilig OS zijn anders ;)
Hoera, het basissysteem is veilig want zolang je niet als root ingelogd bent kan de exploit enkel op userniveau knoeien!

Laat ik dan wel stellen dat al mijn persoonlijke informatie op userniveau leeft, en dat ik op dat niveau ook mijn rootpaswoord intik als het gevraagd wordt. En mijn creditcard nummer. Enzovoorts. Dus een exploit dat een keylogger installeerd op userniveau is *even* rampzalig voor mij als dat ie tot rootniveau escaleert.

[Moest ik een webserver o.i.d. draaien zou er inderdaad een verschil in rampzaligheid zijn.]
Persoonlijk ben ik er ook wel over te spreken dat het gepruts van mijn mede-computergebruikers niet meteen mijn files meesleept. Een probleem op user niveau op mijn Mac vind ik minder erg dan een probleem op root-niveau, en een gemiddelde Mac wordt door meerdere personen ge-/misbruikt.
Nog even over Windows Vista, ik heb wat gezien en het lijkt op een ripoff van MacOSX. Er zijn zelfs filmpjes gemaakt waar iemand van Windows verteld over Vista en waarbij ze de voorbeelden laten zien van MacOSX. Dit bewijst dat Microsoft niet echt creatief is, een paar voorbeelden: als je een filmpje kijkt en je minimaliseert deze dan zie je dan in de taakbalk kijkt loopt dit filmpje gewoon door in de taakbalk. En er zijn nog meer van dit soort functies die al lang op de Mac zitten. Ik weet de url zo gauw niet uit m'n hoofd maar het is wel een leuk om te zien en horen.
Aangezien je post al off-topic gemod is, kan ik ook wel even een off-topic reactie geven.

Teneerste ben ik het met je eens dat Microsoft niet zo creatief is in het vormgeven van hun shell dan de mensen bij Apple. Waar ze wel goed in zijn, is het functioneel houden van de shell. Ik weet het, veel mensen die opgegroeid zijn met de Apple, vinden Mac OS veel fijner werken. Thing is, ze steken gewoon veel geld/tijd in onderzoeken naar user interfaces.

Over je zogenaamde verhoogde beveiliging, door het beter scheiden van gebruikers, deze structuur heeft Windows al heel erg lang. Windows heeft built-in ook 3 groepen gebruikers, de administrators, power-users en normal users.
Het enige wat vr OS X spreekt, is het feit dat het root account (gelijk aan administrator onder windows) standaard disabled is. Dat is leuk en aardig, maar je ziet nu dat de meeste exploits ook gevonden zullen worden voor de admin user, waar veel mensen wel onder werken en ook applicaties onder geinstalleerd kunnen worden.
Net even op OS X 10.4 geprobeerd: ik surf normaal met Firefox en de test link bij Secunia deed niks engs (de standaard dialoog wat ik met de file wilde doen kwam op). Als ik de default 'openen in Stuffit' kies gebeurt er ook nog niks raars (krijg een Secunia.mov op mijn desktop). In Safari start echter inderdaad de calculator vanzelf op als ik op de link klik. Dus Firefox lijkt veilig.
Het probleem is niet je browser, maar hoe OS X een zipfile benadert. Bij jou staat echter StuffIt blijkbaar in Firefox ingesteld om zipfiles te hanteren en dan ben je inderdaad veilig.
Iemand postte een keer dat er geen Macintosh virussen waren omdat het OS niet interessant genoeg was om te exploiteren. Hij werd zo hard na beneden gemod dat hij er nooit meer uitgekomen is.. Volgens geruchten stond hij op -500, andere bronnen beweren zelfs -1200...

Toch ben ik het eens met wat hij zei, nu Apple ietsje meer marktaandeel heeft op de PC markt, gaan hackers er serieus naar kijken.

Apple heeft inmiddels de bug nog steeds eruitgehaald, wellicht bij de volgende service pack. 10.5 zou dat zijn.

Wel jammer, want ik had ook de illusie dat OSX geen firewall en virusscanner nodig zou hebben.

Ik hoop niet dat linux volgende is, want dan is echt niks meer heilig.

edit 10.4.6 dus, thanks.
Toch ben ik het eens met wat hij zei, nu Apple ietsje meer marktaandeel heeft op de PC markt, gaan hackers er serieus naar kijken.
Dan blijft de vraag..

Zijn dit echte hackers.. of anti-virusbedrijven die graag een poot aan de grond willen op een nieuw platforum en daarom binnen enkele dagen een aantal pogingen doen om de zwakke punten van het besturingssysteem te vinden?

Ook bij Windows blijf ik erbij dat bedrijven als Sophos, Symantec e.d. wel heel snel met oplossingen komen voor virussen die 'nog niet in het wild' gesignaleerd zijn.

Ze testen het zeker op het thuisnetwerk van de hacker zelf :?
Toch ben ik het eens met wat hij zei, nu Apple ietsje meer marktaandeel heeft op de PC markt, gaan hackers er serieus naar kijken.
Complete onzin. Veiligheid heeft niks, maar dan ook niks met populariteit te maken. Deze fout is niet ontdekt door hackers maar door een beveiligingsbedrijf. De fout is waarschijnlijk een stomme blunder van een programmeur of een situatie waar niemand aan gedacht heeft dat hij voor zou kunnen komen (zonder de sourcecode gezien te hebben is daar waarschijnlijk weinig over te zeggen). Die fout had er ingezeten, totaal los van het feit of Steve Jobs de enige Mac gebruiker was of dat alle 6 miljard bewoners van deze wereld een Mac op hun bureau hebben staan.

Voor sommige toepassingen (dDoS attacks bijvoorbeeld) is het wel interessanter om een populair platform te gebruiken omdat je dan nou eenmaal sneller het aantal machines hebt gevonden om je attack mee uit te voeren, maar dat maakt de niet gebruikte machines nog niet veiliger.

Tenslotte staat of valt het hele verhaal eigenlijk met: hoe snel zal er een patch beschikbaar zijn.
De fout is waarschijnlijk een stomme blunder van een programmeur of een situatie waar niemand aan gedacht heeft dat hij voor zou kunnen komen
Met name dat laatste is natuurlijk in veel gevallen, op welk platform dan ook, reden tot het bestaan van exploits. Je kan immers nooit overal aan gedacht hebben, mensen blijven nog steeds faalbaar.
Die fout had er ingezeten, totaal los van het feit of Steve Jobs de enige Mac gebruiker was of dat alle 6 miljard bewoners van deze wereld een Mac op hun bureau hebben staan.
Daar heb je gelijk in, alleen zegt de populariteit van een OS of applicatie wel iets over de mate van waarschijnlijkheid dat deze fouten ontdekt worden.
Als een OS meer gebruikers krijgt wordt het interessanter voor kwaadwillenden of een security bedrijf om naar fouten te zoeken en ze te melden, dan wel uit te buiten.
Natuurlijk maakt de mate van populariteit niets uit wat betreft het foutenpercentage in het programmeren zelf.
Daar heb je gelijk in, alleen zegt de populariteit van een OS of applicatie wel iets over de mate van waarschijnlijkheid dat deze fouten ontdekt worden.
Het ontdekken van fouten en het daarna oplossen van die fouten maakt een systeem veiliger, niet minder veilig.

In open source software is het veel makkelijker fouten te vinden dan in closed source software omdat je de broncode kan inzien.

Daarentegen zal een programmeur die weet dat zijn code door veel mensen (waaronder mensen met slechte bedoelingen) bekeken zal worden eerder geneigd zijn goede code te schrijven.

Is een systeem waar 100 onontdekte fouten inzitten veiliger dan een systeem waar 99 ontdekte fouten in zitten en 1 ontdekte fout? Op de korte termijn wel, op de lange termijn niet. Zeker niet nadat die ene ontdekte fout opgelost is.
Veiligheid heeft niks, maar dan ook niks met populariteit te maken.
Sorry maar dit is echt te dom voor woorden.
Het heeft er alles mee te maken.
Sorry maar dit is echt te dom voor woorden.
Het heeft er alles mee te maken.
Je sterke argumentatie heeft me overtuigd. Je hebt gelijk.
Apple heeft inmiddels de bug nog steeds eruitgehaald, wellicht bij de volgende service pack. 10.5 zou dat zijn.
10.5 is een major release, geen service pack. Het duurt nog wel even voordat deze versie op de markt verschijnt.

Een probleem als deze zal eerder geworden gefixed in een automatische update. 10.4.6 is de eerst volgende, dus wie weet.
Een probleem als dit zal zeer waarschijnlijk in een losse security-update worden opgelost, Apple laat mensen over het algemeen niet wachten tot een Service Pack voor een kritische update.

Waarschijnlijk verschijnt de update binnen een paar dagen automatisch in de 'Software Update'.

Er komt iedere maand wel eens een kleine security-update uit, het zijn eerder de exploits die extreem zeldzaam zijn.
Misschien is ReactOS dan wat? Geen windows, geen linux en geen OS X, maar wel windows compatible... (al weet ik niet of er ook fouten van Windows naar ReactOs zijn geslopen ofzo)
Tja als het over Apples gaat lezen de meeste mensen idd niet goed. Terminal gewoon verplaatsen en het probleem is opgelost. Niks virusscanners of firewall toestanden. Maar ja tis Apple en de markt is heel lucratief voor Antivirus bedrijven vermits bijna geen enkel maccer zulks bezit, dus zoveel mogelijk paniek zaaien is de bodschap.

Dus met een simpele drag&drop is het probleem verholpen!
maar de eerstvolgende trojan is misshcien slim genoeg om zo'n verplaatste of hernoemde terminal gewoon op te sporen, dus dit is een leuke tijdelijke workaround, maar geen definitieve fix voor dit gat
Dan verwijder je Terminal.app toch :P
Voor een goeie uitleg:

http://daringfireball.net...fari_shell_script_exploit
Flamebait? Die snap ik (echt) niet...
<div class="b4" style="position: relative; color: black; border: #C6C1B4 1px solid; width: 80%; padding: 5px; font-size: 12px;"><span style="color: C00042;">Admin-edit:</span>
Het reageren met betrekking tot de moderaties binnen een reactie-draad is onwenselijk en offtopic.

Opmerkingen over onterechte moderaties zijn beter op hun plaats in het Tweakers.net Moddereter Forum; klachten over moderaties worden daar behandeld en wanneer mogelijk rechtgezet, of anders zal de gekozen moderatie onderbouwd worden.
</div>
Ehm, het is wel het forum van tweakers.net, het is niet jouw forum of zo. Ik denk dat zij wel recht hebben om de regels te bepalen, en ik vind het ook vrij vervelend als mensen hun post editen nav de moderatie, aangezien dat al weer rechtgetrokken is als ik de post lees.
Het is wl mijn forum. De enige reden dat Tweakers.net interessanter is dan de honderden andere vergelijkbare sites is de enorme userbase. De site wordt gemaakt en gebroken door de gebruikers. Als je die tegen je in het harnas jaagt, kan je de site wel sluiten.
Ik vind het ook vrij vervelend als mensen hun post editen nav de moderatie
Tsja... 1 regeltje tegenover een groot grijs vierkant met rode letters en 6 regels tekst... ik weet wel wat ik vervelender vind. Gezien mijn moderatie van +3 (op een off-topic reactie, nota bene) ben ik niet de enige.
Ikzelf ben een Mac gebruiker en vindt dat het allemaal opgeblazen wordt. Als je Safari gebruikt en je hebt de autorun-feature aanstaan hoef je deze alleen maar uit te zetten en het probleem is verholpen. Mocht je Firefox gebruiken dan heb je er helemaal geen last van. Hetzelfde geld voor het Leap-a virus/worm of wat het ook mag wezen. Want daar moet je eerst een zip bestandje
downloaden uitpakken en dan een jpeg openen die foto's van de nog niet uitgekomen Mac OSX Leopard bevatten.
Ik noem dit nou niet echt problematische virussen, dus ik wacht nog steeds op het eerste virus voor de Mac.
Ik ben zelf ook een Mac gebruiker en ik ben flink geschrokken toen ik een voorbeeld exploit opende. Ik klikte op een link in Safari en er opende een Terminal venster die een shell commando uitvoerde. Wat ik nog enger vind is de eenvoud waarmee deze exploit te reproduceren is. Het eerste wat ik gedaan heb is proberen deze exploit na te maken. Ik heb absoluut geen ervaring met exploits of hacken, maar ik kon binnen 5 minuten uitzoeken hoe deze exploit werkt en mijn eigen versie schrijven. Iedereen met die van het bestaan van deze "feature" in Mac OSX afweet een een klein beetje ervaring heeft met shell scripting kan in no-time zelf ook zo'n exploit uitvoeren.
Ik heb wel meteen uitgezet in Safari dat "veilige" bestanden automatisch geopend worden. Maar dit zorgt er niet voor dat als je op het gedownloade plaatje/filmpje klik de exploit alsnog uitevoerd word.
Je zult nu moeten gaan doen wat alle windows-gebruikers al jaren doen. Nadenken voordat je iets opent.

Overigens wordt er flink scheef gemeten. Deze bug heet bij secunia 'extremely critical' hoewel er altijd interactie met de gebruiker nodig is. In eerste instantie moet je dus verleidt worden tot het klikken op onveilige links, en is niet meer dan gebruikerstoegang mogelijk. Wil iemand iets uitvreten dan zal nog altijd het admin-password gegeven moeten worden door de gebruiker.

Er zijn voor IE 6.* 22 ongepatchte bugs, volgens secunia, van de 92 in totaal, en een aantal daarvan zijn aanzienlijk beter exploiteerbaar, en de hoogste kwalificatie daarvan is 'higly critical'.
Als het om Apple gaat, willen mensen gewoon niet lezen :)
maar publiceerde daarnaast wel de mededeling dat het probleem verholpen kan worden door de 'autorun'-feature van Safari uit te zetten. Inmiddels is echter uit onderzoek van het SANS Internet Storm Center gebleken dat deze maatregel geen afdoende beveiliging biedt, en de site Heise Online liet zelfs zien hoe een e-mailbericht het lek kan misbruiken.
Het probleem wordt dus NIET verholpen door alleen de Autorun uit te zetten. Het is wel degelijk een flink lek.

EN
Hackers zouden Mac-computers met speciale websites in de luren kunnen leggen, maar ook het opslaan van een zip-bestand met een virus zou direct fataal kunnen zijn, zelfs als het archief niet geopend wordt.
Je hoeft dus NIET eerst iets te downloaden, dan te openen, en op te starten, voordat je problemen krijgt. Het kan vanuit zichzelf ook al :)

Ik denk dat Apple op zeker veiliger is dan Windows op dit moment, maar we hoeven niet alles met de mantel der liefde te bedekken.
Ikzelf ben een Mac gebruiker en vindt dat het allemaal opgeblazen wordt.
Ik ben ook Mac gebruiker, maar dit is wel degelijk een ernstig probleem!

Het is namelijk kinderlijk eenvoudig om een schadelijke variant te maken.
"Ikzelf ben een Mac gebruiker en vindt dat het allemaal opgeblazen wordt."

So what else is new :o

Uiteraard brullen de macfanboys dat het niks is, etc. Ik moet wel zeggen dat het erg hard gaat dit jaar, met die Mac D-)
en deze exploit is slecht n van de duizenden die nog komen gaan voor het Apple platform!
Over een jaar moeten 'dure' apple gebruikers ook dure virusscanners, firewalls, antispyware etc aanschaffen.

Windows heeft de meeste bugs al 'gehad'.
Bij windows worden de vele exploits gevonden door de vele ervaren IT-ers die de limits van het OS testen/verkennen.
Ik heb zelf ooit vriendelijke webpagina's gemaakt, waarmee je de CMD en allerlei andere schermen, inclusief extra commando's in kon aanroepen.
Ideaal om vanuit een intranet je werknemers met bepaalde programma's te kunnen laten werken.

Een jaar later blijkt dit de meest kritieke bug te zijn die microsoft ooit heeft gemaakt! (het opstarten van programma's vanuit een webpagina!)
en deze exploit is slecht n van de duizenden die nog komen gaan voor het Apple platform!

Windows heeft de meeste bugs al 'gehad'.
MacOSX is gebaseerd op 1 van de veiligste OS-en dat er bestaat: BSD. Daar wordt zo verschrikkelijk kritisch naar elke wijziging gekeken dat daar vrijwel geen ernstige onontdekte security-problemen inzitten.

BSD is altijd ontworpen en ontwikkeld met security als uitgangspunt. Daarnaast worden BSD-systemen al jarenlang ontwikkeld met de gedachte in het achterhoofd dat de machine op Internet aangesloten gaat worden.

Windows is altijd ontwikkeld met gebruiksgemak als uitgangspunt. Tot de kabel en ADSL-verbindingen populair werden, werden Windows-machines zelden op Internet aangesloten, behalve via een dial-up verbinding of (gefirewallde) bedrijfsomgeving. MS heeft veel te laat het success van Internet ingezien en heel lang hun ontwikkeling daar niet op afgestemd. (zie de enorme hoeveelheid services die tot voor kort standaard aanstonden op elke netwerk-interface).

Microsoft heeft het belang van veiligheid veel te lang genegeerd en daar gaan ze nog jarenlang de gevolgen van voelen.

Apple heeft, op basis van BSD, een OS gebouwd met dat de veiligheid van BSD en het gebruiksgemak van Apple moet combineren. Daarbij worden fouten gemaakt; als ik het goed beoordeel, is dit er eentje van: de nadruk werd op gebruiksgemak gelegd, en niet op veiligheid. Er zullen nog wel meer van dit soort fouten inzitten, maar ik blijf geloven dat MacOSX qua veiligheid Windows nog ver achter zich laat.
maar zip's zoiezo als veilig beschouwen... dat noem ik toch wel 1 van de grootste flaters die ik ooit gehoord heb...
Ik vrees dat jij een grote flater maakt!

OSX beschouwt een zip helemaal niet als veilig en zal een verpakt shellscript normaal nooit automatisch uitvoeren.

Probleem is alleen dat die beveiliging te omzeilen is door een speciaal geprepareerde 'usro' resource to te voegen aan het shellscript.
Niet bepaald voor de hand liggend, wat ook verklaart waarom deze exploit pas nu ontdekt wordt.
Waarom niet gewoon eens toegeven dat dit een foutje van OS X is
Natuurlijk is dit een zelfs zeer ernstige bug in OSX.

Waar ik mij aan stoor is dat sommige posters ten onrechte aannemen dat OSX de inhoud van elke zip blindelings vertrouwt.

Dit probleem treedt alleen op bij een speciaal geprepareerde zip
de basis van OSX is misschien wel goed, maar zip's zoiezo als veilig beschouwen... dat noem ik toch wel 1 van de grootste flaters die ik ooit gehoord heb...

moest MS dit gedaan hebben was de halve wereld nu al gecrasht
OSX beschouwt een zip helemaal niet als veilig
euh ...
... omdat dergelijke archieven door het besturingssysteem sinds versie 10.4 als inherent veilig worden beschouwd
Wat zijn ze weer fanatiek onze Apple aanhangers.
Waarom niet gewoon eens toegeven dat dit een foutje van OS X is. Is dat zo moeilijk?
Windows heeft de meeste bugs al gehad ???
Hmm ik durf die bewering niet geheel te onderstrepen eerlijk gezegd. Als het op veiligheid aankomt heb ik nog steeds niet een hele hoge pet op van de heren uit Redmond, ik geef toe dat het verbeterd is, maar die zijn er ook nog lang niet.
De point van zijn relaas lijkt me: Microsoft is er al op voorbereid.. dwz: iedereen heeft al een firewall en een virusscanner. Al die arme Mac gebruikers die al jaren in de overtuiging leven dat Mac OS niet gevoelig is voor dit soort praktijken zullen het slachtoffer worden van hun eigen ignorance. Ik heb bij een 'mac preffered' bedrijf gewerkt en zo zijn mac gebruikers cht.. "virusscanner? dat hebben wij niet nodig, want wij hebben een mac!"
Jongens lees nou eerst even de reactie van allerbe. Zijn linkje http://daringfireball.net...fari_shell_script_exploit legt het heel mooi uit.

Het is geen bug. Althans niet in de zin van bufferoverflow waar Windows vaak mee geconfronteerd wordt.

Het is een erg ongelukkige samenloop van features in HFS+ en Safari. Overigens is Terminal.app verplaatsen NIET voldoende. De proof of concept maakt gebruik van Terminal.app, maar iedere applicatie kan op deze manier aangeroepen worden. Je kan bijvoorbeeld ook een leuke automater actie maken en die opdezelfde manier spoofen.

LEES de link van alerbe anders weet je gewoon NIET waar je het over hebt.

Risicovol is deze exploit wel tot ie gefixed is, want iedere externe file die je op je systeem krijgt kan dit probleem bevatten. Vandaar dat het ook via Mail.app werkt. Zowel Safari als Mail delegeren het openen van veilige content door aan Finder, daarbij wordt niet voldoende gekeken naar de inhoud van de file. De extensie schijnt voldoende te zijn. Maar zodra Finder de file gaat openen zijn er dus manieren om een andere applicatie te laten openen dan de standaard applicatie. De reden dat het in een Zip file moet zitten is overigens het feit dat DAN ook de resource fork meekomt. En in die resourcefork wordt dus het stukje extra data opgeslagen dat de file met een andere applicatie dan de standaard applicatie geopend moet worden.

Oh ja, en extreem kritisch vind ik onzin. Een exploit kan zonder hulp van de gebruiker (admin password) niet buiten de home directory van de gebruiker ernstige dingen doen, tenzij er een priveledge escalatie mogelijk is met een van de vele executables die je op OSX kan gebruiken.
als ik jouw verhaal goed lees zeg je dat het geen bug maar een feature is. Zelf vind ik het meer bij het lijstje bugs horen
bug/feature.. laten we het gewoon op slecht ontwerp houden.. het werkt namelijk precies zoals ze het bij apple bedacht hebben. Ze hebben er alleen niet aan gedacht dat het ook wel eens nare gevolgen zou kunnen hebben.
'Extreem kritieke' bug bedreigt OS X-gebruikers
bierbuik is OS X-gebruiker (powermac dual).

heeft bierbuik zn safari "open safe files after downloading" uitstaan? check, al jaren.

denkt bierbuik altijd na voordat hij dubbelklikt op een "icoontje" dat hij net gedownload heeft? check, al jaren.

beetje overhyped hoor allemaal. het is zeker een bug in de file afhandeling (finder shell) door os x, en het is zeker vervelend dat je hele homefolder gedelete kan worden.

(maar dat kan altijd, als ik jou een scriptje opstuur met een leuk icoontje en 'rm -rf ~' en jij gaat dat vrijwillig uitvoeren gebeurt hetzelfde, unix is een krachtig os en je kunt jezelf lelijk in de voet schieten).

maar het is geen buffer overflow, het is niet een administrator/root probleem en er is altijd user interactie voor nodig om het te activeren.

bierbuik voelt zich niet bedreigd...
... maar ook het opslaan van een zip-bestand met een virus zou direct fataal kunnen zijn, zelfs als het archief niet geopend wordt.

Ik zou me toch maar eens bedreigd gaan voelen...

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True