Dashboard & Safari Säkerhetsrisk

Tråden skapades och har fått 6 svar. Det senaste inlägget skrevs .
1
  • Medlem
  • International user
  • 2005-05-09 08:47

Slashdot rapporterar om ett säkerhetshål som uppkommer i kombination med Safari och Dashboard (Alltså detta gäller i princip MacOSX 10.4 Tiger)

http://it.slashdot.org/it/05/05/08/2131208.shtml?tid=172&tid=179&tid=3

Ser inte alls roligt ut. Ännu sitter jag med Phanter och kanske kommer att göra det ett tag ännu.

  • Oregistrerad
  • 2005-05-09 09:01

Det är en potentiellt allvarlig brist, men så vitt jag förstått så händer inte mer än att widgeten laddas ner och läggs bland widgetar som kan köras (listan i underkant när man trycker 'plus').
Det är lite samma som om en site skulle skicka ner en dmg automatiskt, den rasar ner utan att man vill det, men programet i dmg:n körs inte automatiskt.

Dock en trist brist...

Som en slashdot-användare noterar så är detta precis som artikeln säger en allvarlig säkerhetsbrist. Men det ser mer ut att vara på grund av en bug än ett designval från Apples sida. Detta för att både filer som laddas ner med Safari och Widgets som installeras på annat vis ger varningsrutor som berättar att det kan vara ett potentiellt farligt program som man laddar ner.

Luktar som om Apple kanske borde väntat till WWDC med att släppa Tiger ändå... Det hade dom kunnat göra med all heder i behåll.

  • Oregistrerad
  • 2005-05-09 09:59

Och enligt denna Dashboard PDF så går det att skriva C, java, script -hack till sina widgets för att exekvera vad som helst.
Dashboard Widgets är mao inte 'sandboxade' som tex applets.
Definitivt en säkerhetsbrist i Tiger.

/jensa

Jag upptäckte det här i morse och fick det sedan bekräftat när jag läste macworld.se. För egen del blev jag mest trött på att den la filen på plats utan att säga något. Jag letade som f-n på skrivbordet efter filen jag precis laddat hem. När jag inte hittade den gjorde jag en ny nedladdning. Den filen blev liggandes kvar på skrivbordet men när jag skulle lyfta in den låg den första redan på plats. Det fattas en dialogruta som meddelar vad som hänt. Sen får de gärna lösa säkerhetsbitarna också.

  • Medlem
  • Stockholm
  • 2005-05-10 16:05

Finns redan proof-of-concept widgetar med "skadlig" kod. Undrar hur mycket som egentligen behövs få en användare att köra en skadlig widget. Man kan uppenbarligen inte skriva över en widget, då hamnar den på skrivbordet (som någon skrev ovan).

Men om man automatiskt laddade ner 10 skadliga widgetar som lägger sig först i listan över widgetar i dashboard, med samma ikoner som de som brukar ligga där? Nästa gång man vill lägga upp en liten kalender så säger det bara pang.

Detta är en ALLVARLIG säkerhetsrisk.

Widget, The World Watcher - en mjukvara som förhindrar auto-installationen dök upp idag på VT.

http://www.versiontracker.com/dyn/moreinfo/macosx/26740

Tillägg (kommentar från VT-sidan):
As a developer of widgets and other software, I acutely understand the dangers of errant software. In order for a widget to be errant, it must be able to execute undesirable code. In order to run such code, specific options must be specified to be turned on. Options such as: Allow Command line, Allow external network connection, Allow Plug-ins for widgets, etc. This is all documented in the Dashboard developer section at http://developer.apple.com.

The problem I have with this widget is that if any of these options are turned on, Dashboard will ask you if you want to run/install the plug-in. This would inform you of possible errent widgets.

The other thing is that this seems like it should be a System preference instead of a widget. A widget watching other widgets not only seems like a marketing companies dream, but is just too ironic. You need to have this widget open in the first place! You don't even show the widget nor tell anything about the size. Seems frivolous.

1
Bevaka tråden