Säkerhetshål i Safari

<img src="http://www.99mac.se/nyhetsbilder/safarihjalpb..." border="0">

Ett nytt säkerhetshål har upptäckts i Safari som kan ge obehöriga personer möjlighet att köra program på din dator med alla problem det kan medföra. 99mac har skapat ett ofarligt exempel som visar hur lätt det är att starta ett program på din dator.

Allt fler säkerhetsluckor i Mac OS X blir nyhetsrubriker runt om i världen och det tyder på att operativsystemet används av fler och fler vilket automatiskt genererar intresse bland hackers.

Programmet "Hjälpvisning" som visar hjälpfiler för olika program (t ex om du väljer "Safari Hjälp" från menyn hjälp i Safari) har möjligheten att starta program i Mac OS X. Detta för att kunna starta t ex Systeminställningar för att kunna fungera bättre som hjälpprogram.

Problemet, eller buggen, är att man få Hjälpvisning att starta genom att man länkar från vilken websida som helst i Safari bara genom att man anger help: som protokoll (se ofarligt exempel nedan). Detta i sig ugör en ganska stor risk, men programmet som körs måste ligga på din dator och en eventuell illvillig person måste veta var på datorn det ligger. Det här ger ju en viss säkerhet, men tillsammans med funktionen Safari har som automatiskt monterar skivavbildningar blir buggen farligare. Om en illvillig person får dig att först klicka på en länk till en skivavbildning, och en stund senare, när laddats ner, klicka på ytterligare en länk så kan den illvilliga personen få vilka program som helst att köras på din dator.

99mac uppmanar därför sina läsare att vara försiktiga när de klickar på länkar på sidor som ni inte litar helt på. 99mac kommer rapportera så snabbt det finns en uppdatering av Safari för nedladdning.

Ett sätt att skydda sig till viss del är att stänga av den automatiska öppningen av filer i Safari. Detta kan du göra i Safaris Inställningar under fliken Allmänt. Kryssa ur "Öppna 'säkra' filer efter hämtning".
Ett säkrare sätt är att ändra så att Hjälpvisning inte startas av help:-länkar. Detta görs enklast via Internet Explorder (tyvärr finns inte inställningen i varken Systeminställningar eller Safari). Välj "Hjälpprogram för protokoll" under Nätverk i inställningarna. Ändra programmet för help till något annat, t ex Textredigerar/Textedit. Tack till Adrian B för beskrivningen.

Här kommer ett ofarligt exempel på buggen: Om du klickar <a href="help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt">här</a> kommer ett program som visar datum och tid att startas på din dator (programmet gör inget farligt, det visar enbart tid och datum)

Rapporten av felet kan du läsa här.

Kommentarer
31 svar

För att inleda den här helgen med några goda skratt bjuder vi på en video med några ungar som får undersöka äldre teknik.

Sju år efter Transmit 4 uppdaterar nu utvecklarna Panic sin omtyckta filhanterare Transmit till version 5.

Apples videoapp Clips uppdateras med Disney-karaktärer så som Kalle Anka och Buzz Lightyear och får också många nya grafiska element.

Nu är det möjligt att betala för Itunes och appar via mobilräkningen också i Sverige – i alla fall om man är kund hos Tre eller Telenor.

Tack till reboot81 för detta #nyhetstips!

Spotify tar bort appar specifikt gjorda för ett antal högtalare och satsar istället på Spotify Connect eller Chromecast Audio.

Den här veckan är det premiär för en opera om Steve Jobs i Santa Fe, USA. Det har tagit två år att förbereda uppsättningen som kommer att köras endast sex gånger.