Säkerhetshål i Safari

Tråden skapades och har fått 31 svar. Det senaste inlägget skrevs .

<img src="http://www.99mac.se/nyhetsbilder/safarihjalpb..." border="0">

Ett nytt säkerhetshål har upptäckts i Safari som kan ge obehöriga personer möjlighet att köra program på din dator med alla problem det kan medföra. 99mac har skapat ett ofarligt exempel som visar hur lätt det är att starta ett program på din dator.

Allt fler säkerhetsluckor i Mac OS X blir nyhetsrubriker runt om i världen och det tyder på att operativsystemet används av fler och fler vilket automatiskt genererar intresse bland hackers.

Programmet "Hjälpvisning" som visar hjälpfiler för olika program (t ex om du väljer "Safari Hjälp" från menyn hjälp i Safari) har möjligheten att starta program i Mac OS X. Detta för att kunna starta t ex Systeminställningar för att kunna fungera bättre som hjälpprogram.

Problemet, eller buggen, är att man få Hjälpvisning att starta genom att man länkar från vilken websida som helst i Safari bara genom att man anger help: som protokoll (se ofarligt exempel nedan). Detta i sig ugör en ganska stor risk, men programmet som körs måste ligga på din dator och en eventuell illvillig person måste veta var på datorn det ligger. Det här ger ju en viss säkerhet, men tillsammans med funktionen Safari har som automatiskt monterar skivavbildningar blir buggen farligare. Om en illvillig person får dig att först klicka på en länk till en skivavbildning, och en stund senare, när laddats ner, klicka på ytterligare en länk så kan den illvilliga personen få vilka program som helst att köras på din dator.

99mac uppmanar därför sina läsare att vara försiktiga när de klickar på länkar på sidor som ni inte litar helt på. 99mac kommer rapportera så snabbt det finns en uppdatering av Safari för nedladdning.

Ett sätt att skydda sig till viss del är att stänga av den automatiska öppningen av filer i Safari. Detta kan du göra i Safaris Inställningar under fliken Allmänt. Kryssa ur "Öppna 'säkra' filer efter hämtning".
Ett säkrare sätt är att ändra så att Hjälpvisning inte startas av help:-länkar. Detta görs enklast via Internet Explorder (tyvärr finns inte inställningen i varken Systeminställningar eller Safari). Välj "Hjälpprogram för protokoll" under Nätverk i inställningarna. Ändra programmet för help till något annat, t ex Textredigerar/Textedit. Tack till Adrian B för beskrivningen.

Här kommer ett ofarligt exempel på buggen: Om du klickar <a href="help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt">här</a> kommer ett program som visar datum och tid att startas på din dator (programmet gör inget farligt, det visar enbart tid och datum)

Rapporten av felet kan du läsa här.

Senast redigerat 2004-05-18 12:10
  • Medlem
  • 2004-05-18 11:04

Det händer absolut ingenting, när jag klickar på länken... Jag vill också ha säkerhetshål!

  • Medlem
  • Nacka
  • 2004-05-18 11:10
Ursprungligen av stfm:

Det händer absolut ingenting, när jag klickar på länken... Jag vill också ha säkerhetshål!

Det berodde på att vbulletin automatiskt lägger till http framför länken så att det blir http://help: istället för bara help: Men nu är det fixat. Kika på proof of concepten ovan för ett mer seriöst exempel.

/arvid

Ursprungligen av Arvid:

Det berodde på att vbulletin automatiskt lägger till http framför länken så att det blir http://help:

Om jag klickar på denna länk http://help: så kommer jag till mentalhelp fortfarande.
Firefox har kanske något påskägg i sig vad vet jag.

Nä nu får jag jobba...

Ursprungligen av whoami:

Om jag klickar på denna länk http://help: så kommer jag till mentalhelp fortfarande.
Firefox har kanske något påskägg i sig vad vet jag.

Däremot om jag ändrar inställningarna i Firefox så öppnas bara en blank sida.

Firefox --> inställningar --> downloads --> bocka för ---> ask me where to save every file

Ursprungligen av whoami:

Om jag klickar på denna länk http://help: så kommer jag till mentalhelp fortfarande.
Firefox har kanske något påskägg i sig vad vet jag.

Nä nu får jag jobba...

Detta beror på att när FireFox inte hittar adressen så går den till första träffen på google, vilket blir mentalhelp om du söker efter "help".

  • Medlem
  • Nacka
  • 2004-05-18 11:06

Insecure.ws har ett "proof of concept" här.
Som Insecures proof of concept bevisar räcker med att du är inne tillräckligt länge på en sida med ett elakt javascript för att buggen skall kunna exploateras (så länge att skivavbilden hinner laddas ner och monteras)

/arvid

Ursprungligen av Björnström:

Här kommer ett ofarligt exempel på buggen: Om du klickar <a href=help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt>här</a> kommer ett program som visar datum och tid att startas på din dator (programmet gör inget farligt, det visar enbart tid och datum)

O.K förr så kom jag till http://mentalhelp.net/ när jag klickade på länken, nu startas Mac-hjälpen istället. Någon klocka ser jag inte röken av.

Nej, jag får heller inte upp info om datum och tid. Däremot öppnas Hjälpvisning.

Om jag förstod saken rätt så måste scriptet ligga på rätt plats för att köras, dvs för mig /Bibliotek/Scripts/Info scripts Är det möjligt att folk har scripten installerade på olika ställen? (Jag har inte flyttat på min mappa med scripts.)

Inte för att det gör mig något, men det vore ju kul om demonstrationen ovan gör vad den ska göra.

Här fungerar det strålande!

  • Medlem
  • Nacka
  • 2004-05-18 11:30

Nej, det är inte låst att filen ligger där, det är bara exemplet som plockar filen därifrån. Nu är exemplet bytt mot ett annat mer effektfullt.

/arvid

----

Exemplet är nu bytt tillbaka, men den nyfikne kan klicka här istället.

För att ta bort programmet som laddats ner raderar du owned.txt som ligger i din hem-mapp, avmonterar skivavbilden "0x04_script" och raderar filen "0x04_script.dmg" som ligger i din nedladdnings-mapp.

/arvid

Senast redigerat 2004-05-18 11:52
  • Oregistrerad
  • 2004-05-18 11:29

Här funkar det också. Får upp datum och allt, koolt! Äntligen lite spänning på nätet även för oss Macheads... Man börjar tänka lite annorlunda direkt, skum känsla på något sätt.

O.K om man kör Firefox så öppnas Mac hjälpen men inget program kan köras därför så får man inte upp datumprylen. I Safari så funkar det med datummojen. Varifrån http://mentalhelp.net/ kommer skulle jag gärna vilja veta.

  • Medlem
  • Nacka
  • 2004-05-18 11:35

jo, var du fått mentalhelp ifrån vet jag inte...

/arvid

Ursprungligen av Arvid:

jo, var du fått mentalhelp ifrån vet jag inte...

/arvid

Jag skojar inte! Det var så faktiskt...

Och nu så funkar det även med Firefox

  • Oregistrerad
  • 2004-05-18 11:36

Hm...
Borde det inte vara bättre att stoppa help:// så att det inte når safari?
Eller behöver man det någonsin i safari?

Någon som sitter med en mac nära och han kolla vad det står om help:// i "httpd.config"?

  • Medlem
  • Nacka
  • 2004-05-18 11:44
Ursprungligen av Pär:

Hm...
Borde det inte vara bättre att stoppa help:// så att det inte når safari?
Eller behöver man det någonsin i safari?

Någon som sitter med en mac nära och han kolla vad det står om help:// i "httpd.config"?

httpd.config styr Apache, och har inget med safari att göra. Tyvärr verkar det inte gå att stänga av help:-protokollet i Safari, men förhoppningsvis är det just det som en framtida buggfix kommer göra.

/arvid

edit: läs nyheten för ett sätt att stoppa hanteringen av help:-protokollet.

Senast redigerat 2004-05-18 15:10
  • Oregistrerad
  • 2004-05-18 11:52
Ursprungligen av Arvid:

httpd.config styr Apache, och har inget med safari att göra.

/arvid

Visst, men... Äh Tänkte ju på ut ju
[Vill man kunna skicka help:// så är det där man skall in...]

Kan rekommendera More Internet som är en inställningspanel som läggs till i systeminställningarna, och som ger möjlighet att ändra vilka hjälpprotokoll som Safari använda. Ställ om det till att öppna valfritt program för typen "help".

(Som Adrian B tipsade i den andra pågående diskussionen om ämnet, så kan samma slags ändringar göras via Explorers inställningar också.)

Sådär - nu öppnas Chess i stället för hjälpvisning när jag klickar på någon av testlänkarna. Hoppas att man kan sova gott då.

Det finns ju redan en tråd om detta med ett antal inlägg i:

Säkerhetshål i Safari

Där finns en beskrivning på hur man ändrar så att Hjälpvisning aldrig startas (vilket är en bättre lösning än att stoppa öppnadet av säkra filer).

  • Medlem
  • Nacka
  • 2004-05-18 12:09
Ursprungligen av Adrian B:

Det finns ju redan en tråd om detta med ett antal inlägg i:

Säkerhetshål i Safari

Där finns en beskrivning på hur man ändrar så att Hjälpvisning aldrig startas (vilket är en bättre lösning än att stoppa öppnadet av säkra filer).

Ah, jag sökte efter en gamal tråd, men jag hittade ingen. Nyheten är nu uppdaterad med tillvägagångssättet du refererade till.

/arvid

  • Medlem
  • 2004-05-18 13:34
Ursprungligen av Björnström:

...

Här kommer ett ofarligt exempel på buggen: Om du klickar <a href="help:runscript=../../Scripts/Info Scripts/Current Date & Time.scpt">här</a> kommer ett program som visar datum och tid att startas på din dator (programmet gör inget farligt, det visar enbart tid och datum)

...

He he, ... hålet tilltäppt. Textredigeraren öppnas och det händer ingenting.

  • Medlem
  • Svedala
  • 2004-05-18 19:53

Det här är faktiskt lite pinsamt, man sitter och känner sig trygg med sin Mac och så dyker något sånt här upp.
Iofs finns det ju mycket mer sånt här skit som drabbar Windows, men en och annan hardcore-Windowsfanboy lär vara glad att påpeka detta.
Hoppas det kommer en fix snarast.

Opera klara inte help:// by default:-)

  • Medlem
  • Svedala
  • 2004-05-19 20:51

Finns det några rapporter om att någon har blivit drabbad av något elakt tack vare det här hålet?

Fix dök upp i uppdateraren. Får upp hjälpen nu om jag klickar på länken på sida 1 men datum och tid startas ej.

Samma här. Efter fixen så verkar hålet tilltäppt.

Bevaka tråden