« OS X 10.3.4 (Build 7H56) für die Entwickler [Update] | Start | Apple will transparente Fenster patentieren lassen »

14.05.2004

Sicherheitslücke in/um Safari und HelpViewer [Update_2]

Gestern konnte man es schon bei esse est percipi lesen, heute dann bei heise:
"Eine geschickte Verkettung mehrerer Funktionen von Mac OS X erlaubt es bösartigen Angreifern, beim Aufrufen einer Webseite mit Apples Web-Browser Safari beliebige Programme auf dem Rechner des Besuchers auszuführen. Dazu muss im Bereich "Allgemein" der Einstellungen von Safari lediglich die Option "Sichere Dateien nach dem Laden öffnen" aktiviert sein. Dann zeigt der Browser nach einem Download Disk-Images (erkennbar an der Endung ".dmg") automatisch als Laufwerke am Schreibtisch an."
safprefs
Die bebeispielte Beschreibung zur Lücke findet sich hier.

Update:
Michael weist bei esse est percipi nochmals darauf hin, dass Safari zwar zum Problem gehört (es genaugenommen automatisiert), aber das Enthaken der oben gezeigten Einstellung noch lange nicht die Sicherheitslücke schließt:
"Will man also wirklich auf der sicheren Seite sein, schließt man, bevor man das Image mountet, den Browser, zumindest aber die Website, von der das Image stammt."

Im macuser.de-Forum wurde das Problem ebenfalls ausführlich diskutiert, dort meldete sich unter anderem auch lixlpixel zu Wort, der die Lücke ursprünglich veröffentlichte und man tüftelte die Änderung des entsprechenden Skriptes aus, mit dem der HelpViewer 'automatisch' Programme starten kann.
Mehr dazu und der Download-Link finden sich bei XLQR.net .

Update_2 18.05.04:
Das Skript reicht offenbar nicht aus zur Lückenschließung, insofern sei hier -genauso wie im Fall der Telnet Schwachstelle- more Internet empfohlen, um help: entsprechend lahmzulegen.

Posted by Leo at 12:44 | Permalink

TrackBack

TrackBack-Adresse für diesen Eintrag:
https://www.typepad.com/services/trackback/6a00d83451c7b569e200d83456a15b69e2

Listed below are links to weblogs that reference Sicherheitslücke in/um Safari und HelpViewer [Update_2]:

» Zum Mitschreiben: Schutz vor der akuten OS X Sicherheitslücke from Das ist nur ein Weblog.
«Wer sich noch nicht um die Sicherheitslücke ( hier und hier im fscklog) gekümmert hat, sollte es spätestens jetzt nachholen, oder sich zumindest bei vernichteten Daten nicht allzu sehr wundern, denn Apple's Patch steht nach wie vor aus. [Mehr erfahren]

verlinkt am 20.05.2004 21:11:51