Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties
Bron: ITWeek

Computerbeveiliging-onderzoekers hebben een fout gevonden in de afhandeling van dmg-bestanden op Apple-systemen waardoor het mogelijk is om kwaadaardige programmacode uit te voeren op Macs. De bug is aanwezig in alle versies van Mac OS X en Apple heeft nog geen patch beschikbaar die het probleem oplost.

Apple dmg-icoonDe meeste applicaties voor Mac OS X worden gedistribueerd in de vorm van dmg-bestanden, een archiefformaat waarin de programmabestanden en een eventueel installatieprogramma wordt gebundeld. Bepaalde onderdelen van het Mac OS X-besturingssysteem, waaronder de webbrowser Safari in Mac OS X-versies tot versie 10.4.5, openen deze bestanden automatisch wanneer een dmg-bestand wordt gedownload van het internet. Hoewel normaalgesproken dit geen kwaad kan en in feite te vergelijken is met het uitpakken van een zip-bestand, is dit gedrag door de nu gevonden bug een serieus veiligheidsrisico. De fout onstaat wanneer corrupte dmg-bestanden worden verwerkt. Hierdoor kan het werkgeheugen in een niet-consistente toestand worden achtergelaten, waardoor het voor aanvallers mogelijk is om willekeurige programmacode uit te voeren. Apple heeft tot nu toe nog niet gereageerd op het veiligheidsprobleem en dus ook nog geen patch gepubliceerd. Wel is het mogelijk om het automatisch openen van dmg-bestanden in Safari uit te schakelen, waardoor het lastiger wordt om de veiligheidsfout te misbruiken.

Moderatie-faq Wijzig weergave

Reacties (32)

Bepaalde onderdelen van het Mac OS X-besturingssysteem, waaronder de webbrowser Safari, openen deze bestanden automatisch wanneer een dmg-bestand wordt gedownload van het internet.
Onzin, DMG bestanden gedownload met Safari openen standaard juist niet. Safari vraagt steeds om de documenten te openen aan de gebruiker tenzij dit in de voorkeuren is uitgezet.

Laat niet weg dat er toch een bug ontdekt is, maar probeer dit dan tenminste juist in beeld te brengen...
Er staat in het origineel dat dit wel automatisch gebeurd, maar waarom neemt Tweakers dit klakkeloos over? |:(
Er staat in het origineel dat dit wel automatisch gebeurd, maar waarom neemt Tweakers dit klakkeloos over? |:(
Verwacht je nou echt dat Tweakers bij ieder bericht gaat kijken of iets te reproduceren is en/of dat ze het driedubbel gaan controlleren bij andere bronnen? Om maar even dezelfde smilie te gebruiken: |:(
Omdat ze geloofwaardig over willen komen? Iedere mac gebruiker weet dat Safari niet automtisch *.dmg bestanden opent, dus zoveel onderzoek hoefde ze er niet naar te doen.
Verwacht je nou echt dat Tweakers bij ieder bericht gaat kijken of iets te reproduceren is en/of dat ze het driedubbel gaan controlleren bij andere bronnen? Om maar even dezelfde smilie te gebruiken:p
Dat verwacht ik inderdaad ja. Tweakers is voor vele mensen een belangrijke nieuwsbron van ICT informatie, en als mediapartij hebben zij dan ook de verplichting om hun verhalen te controleren. Simpele journalistieke basisregels. Appelsientje heeft hier volledig gelijk in; het was nog geen drie minuten werk geweest dit bericht wat beter te controleren.
volgens mij is dat zowiezo al standaard dat hij niet automatisch opent.. bij mij word er in ieder geval al (vanaf clean install) naar gevraagd en ik kan het mij niet herinneren dat ik dit aan heb gezet...
Ja en nee... Hij opent 'm wel, maar checkt eerst de inhoud, als er een programma in zit vraagt 'ie eerst of je 'm wel wil openen, zo nee, dan sluit hij het bestand weer en laat het achter op een manier dat je die vraag weer krijgt als je er op mocht dubbelklikken. Maar voor die check moet het bestand dus wel geopend worden.

Open maar eens een dmg waar geen executable of een onbekend bestands formaat in zit (bijvoorbeeld een dmg die alleen jpegs bevat). Je zult zien dat Safari dan geen alarm slaat.
Sowieso lijkt het me nogal onverstandig om "automatisch openen" aan te zetten. Ongeacht browser, OS of bestandstype.
Als je al zover bent om de DMG te downloaden, dan zal je hem ook wel gaan openen. Of dat nu automatisch gebeurd of jij op de knop drukt maakt dan niet meer zoveel uit.
In de voorkeuren staat een optie 'Open "safe" files after downloading'...
deze staat al sinds de vorige kwetsbaarheid (een exploit waarbij er een shellscript met speciaal mimetype ook uitgevoerd werd; uit februari 2006: nieuws: 'Extreem kritieke' bug bedreigt OS X-gebruikers ), standaard op 'uit'
Jammer dat er toch nog een fout gevonden is in een os dat klaar zou moeten zijn.
Tenslotte heeft Apple een tijdje terug laten weten geen nieuwe patches voor 10.4 uit te willen brengen, maar alle effort in de opvolger te willen steken
Apple heeft nooit iets gezegd over het stoppen met patches voor 10.4, en de update 10.4.9 is momenteel in de maak, getuige de berichten hierover op sites als AppleInsider waar de voortgang van de betatests van deze update gemeld worden.
Een OS is nooit klaar, en elk softwarehuis brengt nog een tijdje updates uit om veiligheidslekken te dichten, ook als de actieve ontwikkeling al is stopgezet
Bugs als deze worden meestal opgelost door een security update, welke het versienummer niet veranderd. Daarenboven heeft Apple nooit laten weten te stoppen met patches voor 10.4.
Spuit 11, alsog software ooit klaar is. Er zullen altijd bugs, fouten en problemen in software gevonden worden, OS of geen OS. Alsof jouw auto 100% bugvrij is; banden slijten, verbruikt olie, lekt vloeistof...
Een OS is nooit af. Daarom wordt het ook 'slechts' in licentie gegeven, en niet 'verkocht', omdat mensen dan geen klacht kunnen indienen voor een onafgewerkt product.
(Een OS is zowat het meest ingewikkelde wat er te programmeren valt... de makers zijn zich ook bewust van het feit dat zij menselijk zijn, en dus fouten maken)
Het maakt OS X niet kwetsbaar, er komt een kernel panic en de Mac wordt opnieuw gestart. Nee, veel wind, klein glas.
'k Denk toch wel als zo'n lekken in staat (zouden kunnen) zijn om kernel panics teweeg te brengen, ze het OS kwetsbaar maken.
ligt eraan wat je opvatting is. kwetsbaar is een relatief begrip, en een herstart stelt niet zoveel voor. hoewel het wel een groot verschil is met nu (van niks naar..)
De truuk zit 'm er natuurlijk in wat er tussen de download en die herstart is gebeurt, kennelijk potentieel gevaarlijk.
Verder mag die optie om automatisch dmg's te openen standaard uit staan, er zijn genoeg mensen die 'm aan hebben staan. Minstens 1 in ieder geval, maar kennelijk is het tijd om 'm uit weer uit te zetten. :)
Een kernel panic vind ik toch wel erg vervelend. Alles wat je open hebt staan is verloren gegaan.
Dit is bij mijn weten nog slechts proof-of-concept. En het is inderdaad niet zo dat dmg-bestanden automatisch geopend worden.
Elke keer wordt er weer vanuit de windows kan gezegd dat ook OSX niet perfect is. Maaruh wie heeft dan gezegd dat OSX perfect is? Ik vind OSX heel erg goed maar perfect? Nee, zeker niet. Maar voor mij persoonlijk wel beter.
Elk OS heeft zo zijn goede en slechte punten. Ik denk dat het probleem binnenkort zonder dat we het weten ineens opgelost is!
Ze moeten ook wel heeeeeel goed zoeken bij die av-makers omdat de mac populairder wordt. En ja dan hoef je ineens niet meer op een reactie van Apple te wachten voor je iets wereldkundig maakt (als het echt een probleem zou zijn :gaap:).

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True