[Waarschuwingsdienst]Mac OS X heeft een zeer ernstige kwet..

dinsdag 21 februari 2006 15:39

*zucht* zijn er geen regels tegen het posten van dit soort mailtjes?

Ja, het is echt.
Nee, het mailtje is niet volledig correct.

EDIT3:
Het originele bericht

Het hele geneuzel rondom mailtje+website+jpeg/mov+gevaarlijke files is bullshit. Het gaat er alleen maar om dat de gebruiker iets opent. En dat openen kan op twee manieren.

Wat is er nou werkelijk aan de hand? Het is een evolutie van Helper+Oompa:
Een shell script wat op een simpele manier word verminkt, zodat Safari het niet als zodanig herkent. Op die manier word het automatisch gerunt als je het download.

MAAR ALLEEN ALS: je onder je Preferences hebt aan staan dat downloads automatisch geopent moeten worden. Het is dus _niet_ zo dat iedereen kwetsbaar is. De slimme mensen die het automatisch openen al uit hebben staan hebben nergens last van... Tenzij! Zie hier onder...

Het tweede wat er aan de hand is, is dat het shell scriptje een .JPG extensie word gegeven en als incoontje het plaatje van een standaard jpeg. Hierdoor word de eindgebruiker verleid het script alsnog te runnen. Maar dit kan hoeft dus niet per se een foto te zijn. Ik kan een script "vermommen" als elk willekeurig bestands type door de extensie en het icoon aan te passen. ECHTER: OS X zelf ziet gewoon dat het een script is. Het file type is en blijft gewoon een "Terminal bestand".

Afbeeldingslocatie: http://www.kilala.nl/Images/Heise-screen.png

Afbeeldingslocatie: http://www.kilala.nl/Images/Heise-screen.png

Overigens: een shell script wat niet is "verminkt" word gelabeled als een "UNIX Executable".

Zie ook Mac Freak forum

Het mailtje is dus een combo van stemming makerij en "de bel horen, maar de klepel volledig zoek zijn"...

Paniek! OS X is onveilig! Mensen zijn onveilig als ze gevaarlijke files handmatig openen (of als ze hun browsers slecht afstellen)! OMGWTFBBQ!!!11one... Film at eleven...

In other news: fire hurts you and curling irons should not be used on your eye lashes.

EDIT:
Wat het script uiteindelijk doet is volledig afhankelijk wat er in is geschreven

Voor mijn part doet het niets dan een echo "hello world!", maar het kan net zo goed zijn rm -rf ~/*. Het eerste is flauw, het tweede desastreus voor je eigen files.

De TS heeft in elk geval gelijk als hij zegt dat het je system files niet aantast. Dat kan het niet, tenzij de eindgebruiker zo slim is geweest om "sudo" zo in te stellen dat het geen password nodig heeft. Maar persoonlijk vind ik dan dat je het verdient

EDIT2:

Indien u gebruik maakt van de standaard Mac browser Safari loopt u
een extra risico. Deze opent namelijk bij het bezoeken van websites
automatisch bestanden die zich op die website bevinden. Dit zonder
eerst te checken of deze veilig zijn.

Dit is sowieso onzin. Het automatisch "openen" van files op een website doet Safari niet

Het opent ze automatisch _na_het_downloaden_ daarvan, wat door de user moet worden geinitieerd. En dat kan je dus uitzetten (IMHO _hoort_ dit ook gewoon uit).

* Liegebeest gaat op zoek naar contact info voor die waarschuwingsdienst... Dit rammelt aan alle kanten.

[ Voor 39% gewijzigd door Liegebeest op 21-02-2006 15:38 ]

Liege, liege, liegebeest!

Acties:

Verwijderd

Zo, naar aanleiding van dit soort berichten de laatste tijd heb ik zelf ook maar een standaard account voor mezelf aangemaakt en een apart admin account aangemaakt voor belangrijke zaken, en automatisch openen van bestanden uitgezet in Safari.

Een gewaarschuwd mens telt voor twee.

dinsdag 21 februari 2006 15:52

Acties:

dinsdag 21 februari 2006 16:30

Vortix: beide zeer slimme besluiten! *applaus*

EDIT:
Overigens, een correctie op mijn voorgaande verhaal.

Ik bedenk mij net dat het natuurlijk mogelijk is om dit _toch_ automatisch te laten gebeuren. Dit kan door de browser te forceren het bestand te downloaden (wat je al vaak ziet gebeuren bij bijv. download sites waar de download automagisch word gestart).

Dit vertrouwt echter alsnog op de foute instelling van het "automatisch openen van downloads".

Ik zat er dus deels naast: dit probleem is toch een stuk ernstiger dan ik aanvankelijk dacht.

[ Voor 94% gewijzigd door Liegebeest op 21-02-2006 16:03 ]

Liege, liege, liegebeest!

Acties:

dinsdag 21 februari 2006 16:32

Bovendien is dit simpelweg door een fatsoenlijk beveiligingsniveau op te lossen.
Op mijn Mac is heb ik alleeneen admin user voor systeem functies. De gebruikers hebben geen admin rechten en mogen bovendien geen systeem utiities opstarten. Een gebruiker is dus nooit in staat om een terminal sessie te starten.

Acties:

calvin

Failure is not an option

bericht is voor de eenvoudige gebruiker bedoelt, lees thuisgebruiker en kleine bedrijven.
Technisch inhoudelijk klopt het wellicht niet helemaal maar als je deze link volgt: http://www.mathematik.uni-ulm.de/~lehn/mac.html
en je hebt de standaard instellingen van OSX en Safari dan wordt er zonder tussenkomst van de gebruiker een shell geopend. En als ik de rechten van de gebruiker heb, dan is meer meestal een kwestie van tijd.

Daarnaast zal wanneer je het automatisch openen uitgezet hebt en het zipje hetb uitgepakt, iets wat een thuisgebruiker lekker doet, vrolijk een quicktime op preview icon getoond worden op de desktop.

ff dubbelklikken en voila, een terminal.

message from GOD: everybody logout, gonna reboot the universe

dinsdag 21 februari 2006 19:14

Acties:

Q

Au Contraire Mon Capitan!

Deze vulnerability is buitengewoon ernstig. Waarom? Omdat 90% van de apple-gebruikers de default instellingen van Safari zal gebruiken en dan ben je door het klikken op 1 simpel linkje de pineut.

De vermomming van een script als jpeg is ook ranzig en zal velen om de tuin leiden. Ik zou er ook in trappen.

De code wordt met je eigen rechten gestart, maar dan kun je op zijn minst mail adressen harvesten, bestanden jatten/wissen, etc, etc, etc.

Dit is een schandalige vulnerability en "Apple" zou zich moeten schamen. Dit valt niet goed te praten.

dinsdag 21 februari 2006 19:22

Acties:

axis

Topicstarter

Dit is de eerste keer dat ik een bericht als deze post (en dat met 2800+ posts), en het gaat me niet zozeer om het feit dat er een vulnerability opgemerkt wordt, maar dat een team van de Nederlandse overheid (waarschuwingsdienst is toch van ministerie van economische zaken) een bericht op deze manier de deur uit doet.. Dan heb ik reden om aan te nemen dat er toch wel heel iets aan de hand is.. maar goed, valt allemaal wel mee dus.

Wel tricky omdat inderdaad 90% van de users default settings aan zal hebben staan..

Two advices for network troubleshooting.. learn to draw diagrams in Visio, and THINK IN LAYERS!

dinsdag 21 februari 2006 20:37

Acties:

dinsdag 21 februari 2006 20:47

Deze vulnerability is buitengewoon ernstig. Waarom? Omdat 90% van de apple-gebruikers de default instellingen van Safari zal gebruiken en dan ben je door het klikken op 1 simpel linkje de pineut.

Zelfs dat hoeft dus niet... Een site bezoeken die de download forceert is al genoeg. Daarom is het helemaal smerig.

En Axis: helaas valt het helemaal niet mee

Dit kan bij de onwetende massa tot hele lelijke gevolgen leiden. Dus idd toch goed dat je het bericht poste

Liege, liege, liegebeest!

Acties:

Thunder

axis schreef op dinsdag 21 februari 2006 @ 19:22:
Wel tricky omdat inderdaad 90% van de users default settings aan zal hebben staan..

Volgens mij ben je als default user geen admin. Kritische systeembestanden verwijderen zonder je root password in te typen gaat dus niet.

dinsdag 21 februari 2006 21:55

Acties:

Verwijderd

Thunder schreef op dinsdag 21 februari 2006 @ 20:47:
[...]

Volgens mij ben je als default user geen admin.

Zeker wel.

dinsdag 21 februari 2006 22:54

Acties:

Q

Au Contraire Mon Capitan!

Verwijderd schreef op dinsdag 21 februari 2006 @ 21:55:
[...]

Zeker wel.

Nietes. Maar je hebt middels sudo wel de mogelijkheid om admin-rechten te krijgen.

dinsdag 21 februari 2006 23:52

Acties:

Thunder

http://docs.info.apple.com/article.html?artnum=106290

Je moet flink wat doen om root te krijgen zelfs

woensdag 22 februari 2006 00:18

Acties:

Q

Au Contraire Mon Capitan!

Root of admin maakt niet veel uit. Met sudo + je pass kun je volgens mij ook alles doen wat root ook kan.

woensdag 22 februari 2006 00:33

Acties:

moto-moi

Ja, ik haat jou ook :w

Q schreef op woensdag 22 februari 2006 @ 00:18:
Root of admin maakt niet veel uit. Met sudo + je pass kun je volgens mij ook alles doen wat root ook kan.

En jij vult altijd meteen je wachtwoord in nadat je een zipfile download?

Het is gewoon ranzig dat dit kan, en op zich kan je hele homedir gewist worden zonder dat je er iets tegen kunt doen, en dat is best redelijk beroerd te noemen. Ik ben benieuwd hoe lang het duurt voordat Apple met een fix komt.

God, root, what is difference? | Talga Vassternich | IBM zuigt

woensdag 22 februari 2006 06:00

Acties:

woensdag 22 februari 2006 09:22

Q schreef op dinsdag 21 februari 2006 @ 22:54:
[...]

Nietes. Maar je hebt middels sudo wel de mogelijkheid om admin-rechten te krijgen.

Root is niet het zelfde als admin.

De default user (eerste die word gemaakt) is wel degelijk een admin user.

Liege, liege, liegebeest!

Acties:

Zwerver

En het is nog erger dan dit, zelfs Mail.app heeft last van deze bug. Op isc.sans.org (http://isc.sans.org/diary.php?storyid=1138) staat een mooie proof off concept, zie update 2

Woonachtig Down Under. Ik negeer je insults niet, maar tegen de tijd dat ik ze lees zijn ze meestal niet relevant meer

woensdag 22 februari 2006 12:01

Acties:

woensdag 22 februari 2006 13:20

Kortom,

Met het alleen maar uitzetten van dat vinkje in Safari kom je er niet. Je moet ervoor zorgen dat je reguliere gebruikers geen admin rechten hebben en in de "Parental" controls aangeven dat ze geen system utilities mogen opstarten. Beiden horen thuis bij de admin en niet bij de eindgebruikers.
Hiermee is het hele probleem opgelost op rechten niveau en niet op instellingsniveau van safari, mail of wie weet wat voor client die automatisch een bestand probeert te openen.
Dit is iets wat OSX eigenlijk standaard zou moeten doen bij het aanmaken van een user.

Acties:

woensdag 22 februari 2006 13:43

Totdat de malware op zoek gaat naar applicaties als iTerm, die de zelfde rol vervullen als Terminal en die niet onder die regeling vallen.

Liege, liege, liegebeest!

Acties:

Verwijderd

iTerm? Wat is dat?

Anyway, ik ga zo ook maar parental controls voor mijn enduser account aanzetten.

woensdag 22 februari 2006 14:04

Acties:

woensdag 22 februari 2006 15:05

Ik zou het even moeten testen, maar volgens mij vallen ALLE applicaties in de Utilities map onder deze regeling. Net zoals alle applicaties in de applications map voordoemen in de parental controls voor je applicaties. Zo kun je per applicatie, en per utility, regelen of een gebruiker hem mag opstarten of niet.

[ Voor 50% gewijzigd door Speijk op 22-02-2006 14:05 ]

Acties:

Canaria

4313-3581-4704

Verwijderd schreef op woensdag 22 februari 2006 @ 13:43:
iTerm? Wat is dat?

Anyway, ik ga zo ook maar parental controls voor mijn enduser account aanzetten.

http://iterm.sourceforge.net/
Het is een opensource terminal programma met uitgebreidere mogelijkheden dan de standaard aanwezige terminal.

 Apparticle SharePoint | Apps | Articles

woensdag 22 februari 2006 15:27

Acties:

Verwijderd

Canaria schreef op woensdag 22 februari 2006 @ 15:05:
[...]

http://iterm.sourceforge.net/
Het is een opensource terminal programma met uitgebreidere mogelijkheden dan de standaard aanwezige terminal.

Aha. Ik gebruik de terminal toch al nooit, dus voor mij is dat geen gevaar als ik het goed begrijp?

Hmm bij nader inzien gebruik ik nog best veel utilities regelmatig eigenlijk.

woensdag 22 februari 2006 15:39

Acties:

woensdag 22 februari 2006 15:54

Tweaker in München

Wat ik niet snap is waarom the executable bit aanblijft staan.
Elke file/attachment wat je download, laat het nou via Safari, Opera of Mail zijn, zou gestript moeten worden van de executable bit.

Als je dan een dubbel click doet op een "jpeg", zou finder gaan kijken wat het bestand doet. Is het echt een jpeg of een programma. Mocht het een jpeg zijn dan wordt de viewer geopened. Is het een script dan zou een prompt moeten komen, "dit bestand is van type "script" en heeft uitvoer rechten nodig. ja/nee. Gevolgd door een pw prompt om de rechten aan te passen.

Acties:

woensdag 22 februari 2006 18:18

Omdat die executable in een zip file zit. Daarin worden de originele permissies behouden.

Het zou wat zijn als in elke zip of tar.gz of whatever de permissies zouden worden veranderd door je browser. Kan je meteen geen goede packages en sources meer downloaden.

Liege, liege, liegebeest!

Acties:

woensdag 22 februari 2006 20:45

Tweaker in München

cailin_coilleach schreef op woensdag 22 februari 2006 @ 15:54:
Omdat die executable in een zip file zit. Daarin worden de originele permissies behouden.

Dus niet he.
Lees nog maar eens hier -> http://isc.sans.org/diary.php?storyid=1138

Content-Transfer-Encoding: 7bit
Content-Id: <65891ABD-2356-488E-9A2D-3D85BC1DD282@ct.heise.de>
Content-Type: image/jpeg;
x-mac-type=0;
x-unix-mode=0755; <= dit moet dus aangepast worden door mail!
x-mac-creator=0;
name="Heise.jpg"
Content-Disposition: inline;
filename=Heise.jpg

Acties:

woensdag 22 februari 2006 21:35

Maakt allemaal niet uit.
Als je hem download, met wat voor programma dan ook, wordt uitpakt en als jpeg op je desktop gedropt wordt alsnog een shell window geopend als je erop klikt. Hoewel je er dan wel enigszins verdacht op bent omdat hij ook het icoon van een shell script heeft gekregen
Maar er zijn genoeg gebruikers die zonder na te denken dubbelklikken op een bestand genaamd nice-pussie.jpeg

Nope, je moet gewoon zorgen dat ze niet het recht hebben een terminal sessie te starten, daarmee voorkom je alle mogelijke verschijningsvormen van deze vulnerability. Nu is het safari, de volgende keer is het wel weer wat anders.

Acties:

calvin

Failure is not an option

Het probleem is dat een bestand dat gespoofed wordt, gewoon het jpg of movie icoon krijgt. Via heise.de kun je je nu ook laten mailen en Mail.app wordt ook gefopt en laat een jpg-je zien in de mail.

Verder is er nu een echte exploit beschikbaar, wordt nog niet toegepast, maar toch. Kwestie van tijd tot iemand iets bedenkt om het een en ander te doen zonder zichtbare schermen zoals Terminal.

Apple zal het wel fixen, ff voorzichtig dus.

message from GOD: everybody logout, gonna reboot the universe

donderdag 23 februari 2006 12:25

Acties:

donderdag 23 februari 2006 15:18

De exploit kan ook via een mail gestuurd worden:

http://www.heise.de/english/newsticker/news/69919

Hier leggen ze ook uit waarom firefox je NIET beschermd tegen deze exploit.

Toch je beveiliging maar goed regelen i.p.v. handige features uitzetten?

Acties:

woensdag 1 maart 2006 23:52

Het probleem is dat een bestand dat gespoofed wordt, gewoon het jpg of movie icoon krijgt.

Hij krijgt het icoon niet van het OS omdat hij gespoofed word. Hij krijgt het icoon van de persoon die de spoof in elkaar zet -> iconen kan je gewoon aan een bestand koppelen. Wat betreft icoontjes en applicatie koppelingen geeft OS X geen ruk om extensies (en daar ben ik maar wat blij om)...

Liege, liege, liegebeest!

Acties:

Daedalus

Moderator Apple Talk

Keep tryin'

En vandaag heeft Apple Security Update 2006-001 vrijgegeven. Hierin zijn o.a. de Safari (en Mail) exploit mee gefixed en is tevens de verspreiding van Leap.A via iChat geblokkeerd.

“You know what I've noticed Hobbes? Things don't bug you if you don't think about them. So from now on, I simply won't think about anything I don't like, and I'll be happy all the time!” | 宇多田ヒカル \o/

donderdag 2 maart 2006 15:18

Acties:

calvin

Failure is not an option

Helaas is de mogelijkheid tot het uitvoeren van de terminal scripts nog niet geblokkeerd, je krijgt in safari alleen een extra melding....Weet je zeker dat je dit uit wilt voeren?

Security by obscurity....

message from GOD: everybody logout, gonna reboot the universe

vrijdag 3 maart 2006 09:26

Acties:

Vaagharses

De patch is slecht

Hij start dan weliswaar niet vanuit safari maar slaat zo'n bestand wel op als bijvoorbeeld .mov en geeft een icoon van QT. Dubbelklikken levert de uitvoer van een script op....
Er zijn genoeg mensen die dan op dat bestand klikken. Ik vraag me af waarom ze het bepalen van het bestandstype niet aan het af te beelden icoon kunnen koppelen ...

Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?

vrijdag 3 maart 2006 09:42

Acties:

vrijdag 3 maart 2006 14:53

Hij start dan weliswaar niet vanuit safari maar slaat zo'n bestand wel op als bijvoorbeeld .mov en geeft een icoon van QT.

Nogmaals: dat is geen bug.

. Ik vraag me af waarom ze het bepalen van het bestandstype niet aan het af te beelden icoon kunnen koppelen

Kunnen ze wel, maar daarmee haal je een mooie feature uit het OS weg. Het is nu mogelijk om mooie custom iconen aan zo ongeveer _alles_ toe te kennen en daar word dankbaar gebruik van gemaakt. En het nadeel daarvan is dus dat je inderdaad ook dit soort grapjes uit kan halen.

IMHO een klein nadeel bij een groot voordeel.

Het zelfde geld voor extensies: ik ben _heel_ blij dat extensies niet worden gebruikt om het bestandstype te bepalen, zoals het hoort in een UNIX.

Liege, liege, liegebeest!

Acties:

vrijdag 3 maart 2006 19:24

Tweaker in München

cailin_coilleach schreef op vrijdag 03 maart 2006 @ 09:42:
IMHO een klein nadeel bij een groot voordeel.

Het zelfde geld voor extensies: ik ben _heel_ blij dat extensies niet worden gebruikt om het bestandstype te bepalen, zoals het hoort in een UNIX.

Ik vind het helemaal geen klein nadeel. Het is nu nog misschien onschuldig maar het kan grote gevolgen hebben.
Wat ik het liefst zou zien.
1. Icon gebasseerd op de inhoud van de file. Dus geen gebruik van extensie maar file headers lezen
2. Gebruikers kunnen een icon toekennen aan een bepaald bestand type. Dus QT icon voor .wmv movie.
3. Applicatie mappen gewoon het opgegeven icoon weergeven MAAR als een applicatie een naam met extensie heeft zoals "bekijkditsexplaatje.jpg" dan een waarschuwings icoon (rood kruis of vraagteken).

Acties:

vrijdag 3 maart 2006 19:42

Als aanpassing op jouw eerste punt: wat ik graag wil is dat je gewoon je eigen icoon mag gebruiken, maar dat er een modifier bovenop komt. Aliassen krijgen ook dat grijze pijltje, dus waarom niet iets om executables aan te herkenne?

Is het hele gedonder meteen uit

Je tweede punt ben ik het niet mee eens: dan zou je maar een icoon kunnen gebruiken voor een hele reeks bestanden. Niet flexibel genoeg.

En je derde punt lijkt erg op mijn modificatie op je eerste punt. Echter ben ik het er dus niet mee eens dat er iets met extensies moet worden gedaan. IMHO moet gewoon elke executable zo'n modifier krijgen. Ten alle tijden.

Liege, liege, liegebeest!

Acties:

Digistorm

ex-demo scener

Sowieso hebben alle uitvoerbare bestanden in UNIX een executable vlag, daarom kun je in de terminal ook makkelijk zien of een bestand uitvoerbaar is. Daar zou wel iets mee te doen zijn, het is alleen de vraag of Apple dat gaat doen. Ik ben het er verder mee eens dat ze niet zouden moeten rommelen met extensies of voorgeschreven pictogrammen. Dat is zó jaren 80...

Hier stond achterhaalde informatie…

vrijdag 3 maart 2006 19:46

Acties:

Vaagharses

cailin_coilleach schreef op vrijdag 03 maart 2006 @ 09:42:
[...]

Nogmaals: dat is geen bug.

[...]

Kunnen ze wel, maar daarmee haal je een mooie feature uit het OS weg. Het is nu mogelijk om mooie custom iconen aan zo ongeveer _alles_ toe te kennen en daar word dankbaar gebruik van gemaakt. En het nadeel daarvan is dus dat je inderdaad ook dit soort grapjes uit kan halen.

IMHO een klein nadeel bij een groot voordeel.

Het zelfde geld voor extensies: ik ben _heel_ blij dat extensies niet worden gebruikt om het bestandstype te bepalen, zoals het hoort in een UNIX.

Ik ben ook heel blij dat ze niet kijken naar de extensie maar naar de inhoud om te selecteren wat voor bestand het is, alleen jammer dat het "icoon" mechanisme daarnaast ook op de extensie reageert. Want dit noem ik _GEEN_ media bestand en wordt wel weergegeven met het QT icoon:

foo.mov

code:

# /bin/bash

while true; do
     echo "Hallo Welt!"
done

en ook de correcte versie (met #!/bin/bash) wordt bij mij weergegeven als QT icoon.

OS X zou een shellscript nooit mogen weergeven als een media-bestand of ander data document, maar altijd als een uitvoerbaar bestand. Daarnaast zou OS X een incorrecte versie van een shell-script nooit mogen uitvoeren. Het is niet zo moeilijk om de ontleder een fout-rapport te laten genereren waardoor dat mogelijk is.

Op dit moment blokkeert de nieuwe patch wel de grote problemen, maar het blijft een zeer slordig mechanisme nu.

Anti Geluidsmuur Front Amstelveen telt 17.800 lantaarnpalen; hoeveel heeft jouw gemeente?

vrijdag 3 maart 2006 21:08

Acties:

vrijdag 3 maart 2006 21:40

, alleen jammer dat het "icoon" mechanisme daarnaast ook op de extensie reageert.

Oh dear... Je hebt gelijk... Ik dacht dat het OS daar geen koppeling tussen legde, maar ik heb het net zelf ook ff gedaan. En idd... Da's best k|_|t eigenlijk..

Liege, liege, liegebeest!

Acties:

Daedalus

Moderator Apple Talk

Keep tryin'

Leesvoer over hoe de Finder bepaald welk icon er wordt gebruikt en waarmee een document wordt geopend.

“You know what I've noticed Hobbes? Things don't bug you if you don't think about them. So from now on, I simply won't think about anything I don't like, and I'll be happy all the time!” | 宇多田ヒカル \o/

vrijdag 3 maart 2006 22:19

Acties: