Rendkívül kritikus hiba a Mac OS X-ben

macOS

A biztonsággal foglalkozó Secunia szerint olyan hiba található az Apple Safari böngészőjében, amely távoli kódfuttatásra és rendszerhozzáférésre ad lehetőséget. A Mac OS X felhasználókat érintő hibát a cég az "extremely critical" jelzővel illette. A hiba akár automatikusan kihasználásra kerülhet.

A hiba kihasználhatóságát megerősítették a legutolsó verzióra patch-elt Safari 2.0.3 (417.8) és Mac OS X (10.4.5) esetén.

A Secunia elkészített egy tesztoldalt, ahol meg lehet vizsgálni egy adott rendszer sebezhetőségét.

A hibát egy külsős, Michael Lehn fedezte fel. A hibára jelenleg nincs vandor patch, de a Secunia ajánl ideiglenes megoldást.

A Secunia oldala itt.

( zoozo | 2006. 02. 22., sze – 09:19 )

Amióta x86 változata is van a Mac OSX-nek egyre több hibajelentést lehet olvasni róla. Természetesen ez nem a portolás hibája mert mint ez a hiba is a legtöbb érinti mind az x86 mind a Ppc változatot. Ennyivel több kritikus figyelmet hozott volna maxxuss munkássága :-), akinek egyébként most épp nem elérhető az oldala? Vagy csak eddig nem lett nagy hír belőlük?

( ToNyo | 2006. 02. 22., sze – 10:42 )

renkivul kritikus, ki kell venni egy pipat safaribol es orvosolva van a problema

A használhatóság rovására butítani egy böngészőt tényleg bölcs dolog. Akárcsak az IE esetében, ezt ne futtasd, azt ne futtasd és akkor biztonságban vagy. Persze csak a kedvenc bankod, webáruházad dob egy hátast.

--
Az élet harc. Délelőtt az éhséggel, délután az álmossággal.

Remote root az sshd-ben? Rendkívül komoly hiba. Egy sshd stop paranccsal orvosolva van a probléma. Mi?

Ilyen alapon nincs is kritikus hiba sehol.

De majd ha egy weboldal meglátogatása után például azt veszed észre, hogy a ~ könyvtárad csont üres mert egy szkript letörölt mindent, akkor majd elgondolkozol. És igen, desktop gépnél az a legnagyobb baj, ha az adataid elvesznek a home-ból, mert a rendszer újratelepítéssel pótolható de az adataid nem biztos.

Azt, meg hogy tudod, hogy egy pipát kell kivenni, azt annak köszönheted, hogy elolvasod az ilyen bejelentéseket, mert magadtól lehet, hogy az életben nem jössz rá (10 000 forintos kalapácsütés esete), hogy mitől lett egyszer csak üres a könyvtárad.

--
trey @ gépház

Illetve ha iGetter-t használasz akkor a letöltést átveszi az és nem csomagolja ki! Persze a teszt ettől még lehet jó, mivel ha kézzel kicsomagolod és abban van egy .mov kiterjesztésű fájl lehet hogy meg akarod nézni! Ekkor viszont indít a .mov kiterjesztésű videónak látszó fájl egy shell+ scriptet és elindítja a számológép programot :-)

Épróbáltam, tehát a dolog a következő képpen néz ki:
1) pipa kivesz, vagy iGetter (letöltés kezelő)
2) van egy szép zip fájl
3) kicsomagol kézzel, mert azért kíváncsi vagyok mi van benne
4) .mov kiterjesztés, szép Quicktime ikonnal
5) ha viszont alma+i akkor az Open with elemben látszik, hogy ezt bizony hiába a kiterjesztés nem Quicktime-al fogja megnyitni, hanem Terminal-al

Végső konklúzió, hiába a kiterjesztés, bármit hozzá lehet rendelni a program futásához! Sajnos ez Mac esetén tényleg így van! De ekkor ennyi erővel lehetne pdf meg txt meg amit akarsz, mert ha egyszer le van töltve, de más van hozzárendelve mint futtató program akkor satu!

Nem azt mondtam, hogy ugyanaz. Az csak irónikus példa volt arra, hogy hogyan bagatelizáljunk el komoly problémákat.

"Kiveszed a pipat"

Jah, ha elolvastad a bejelentést, és kiveszed a pipát. Te kiveszed. De az emberek 98%-ka nem olvas Secunia-t... Szóval azért ne csináljunk úgy, mintha ez nem lenne probléma.

--
trey @ gépház

Nem persze, mint irtam fentebb a problema ugyanugy fennall.
De az a 98% a tobbi rendszeren ugyanigy bekajalja a hasonlo dolgokat.
Jah meg valami...
Nem a bejelentes hatasara veszi ki a tobbseg, hanem logikus gondolkodas hatasara, mivel ha beallitod a bongeszot, akkor fel fog tunni :)
De ez abszolute nem a bongeszo hibaja, ahogy a secunia is irja

Az lehet, ellenben a Secunianal a kov. leiras talalhato, ami a cikkben levo sec.adv.ban van:

"The vulnerability is caused due to an error in the processing of file association meta data in ZIP archives (stored in the "__MACOSX" folder) and mail messages (defined via the AppleDouble MIME format). This can be exploited to trick users into executing a malicious shell script renamed to a safe file extension stored in a ZIP archive or in a mail attachment."

( uid_228 | 2006. 02. 22., sze – 12:32 )

Érdekes, most hol vannak a Mambo hibát bejelentő hírnél hemzsegő Makkosiksz trollok? :)))

( prezidente | 2006. 02. 22., sze – 17:43 )

De komolyan etz annyira bírom.
Fejből tudnék mondani legakább 5 szörnyű kritikus hibát az xp-ben amik ennél rosszabbak. Lehet hogy a Mac OS X nem tökéletes de a külsős "független" cégek újabban miért csak az OS X-ben fedeznek fel hibákat?
Ilyen alapon van a Linuxban is ezt nem fikázásnak mondom de pl a windowsban meg csak úgy hemzseg.
Már a telepítéskor felülírta a kisdrága a master bootrecordot de pl van benn olyan "szolgáltatás" is hogy bárki bárhonnan módosíthatja a rendszert hogy a munka könnyebb legyen.
De folytathatjuk azzal is ha "véletlen" összeomlik a rendszer mert volt már rá több példa is hogy csak gondolt egyet és megtette akkor még reménykedsz a javítókonzolba de azzal kell szemebesülnöd hogy rendelkezésedre áll kb 50 parancs + átlag 3 alparancs ez így kb 150-200 és ha netán adatot akarnál kimenteni akkor nem teheted mert amikor a saját gépednél ülsz(mert ugye ez a konzol csak így műkszik) akkor a saját fájljaidhoz nem férsz hozzá biztonsági okokból mert hát normális ember megvendégeli a hackert...
Nem mondom hogy az OS X hibátlan de van nála 1000x rosszabb amim mégis elterjedteb gondolom mindenki érti a célzást

Szerintem keress az oldal 6 éves archivumában. Azt hiszem, nem tévedek nagyot, ha azt mondom, hogy sokkal több olyan cikket találsz benne ami Linux, FreeBSD vagy egyéb más operációs rendszerben található hibáról szól.
Az, hogy most több Mac OS X-es van az annak köszönhető, hogy most egy ideig mindenki az Apple-ről beszél (PPC -> Intel váltás miatt elsősorban, előtte a kutyát nem érdekelte). Most az érdeklődés felé fordult, security búvárok nézik, és várható, hogy napról napra több bejelentés lesz hozzá ahogy terjed. Ha nem terjed, akkor nem. Nincs ebben semmi érdekes. Ez olyan, hogy választások közeledtével egyre többen politizálnak, vagy érzik úgy, hogy értenek a politikához. Majd a választások után megint nem érdekel az egész senkit 3 évig.

--
trey @ gépház

Azért az viszont már gáz amikor egyre több statisztikát látok arról hogy a windows mindennél jobb de valahogy mindet a MS adja ki és nem külsős vagy független.
pl megmutattam az egyik ilyen jellegű cikket infósnak és azt mondta hogy fele mondvacsinált ok vagy elhanyagolható. A többit meg hát... Próbálkozzanak arra a célra fejlesztett linuxszal hasonlítgatni.
Amúgy szerintem ez az inteles váltás végül nem rossz de azért meghagyhatnák a powereket.
Nap mint nap találkoztam pár hónappal ezelőtt pár hónapon keresztül :) OS X-et iMac G5-ö ha vkit érdekel 20' 2 GHz és az OS X-nek semmi baja nem volt iszonyat gyors volt és 50 meg 100% CPU usage mellett hiába rángattnád az akkora ablakot ami nem fér a felbontásba és amúgy meg film megy rajta meg közbe alatta 1-2 folyamat az éleket rángatás közben is mosta a motion bl. is ott figyelt csík se volt.
Hogy biztonságos arra meg tapasztalat alapján azt tudom mondani hogy nagyon is annak "tűnt". Egyszóval a tapasztalataim alapján az OS X stabil gyors megbízható és kiforrott.
A windowsos tapasztalataim alapján ezt nem tudom elmondani.
A linuxból meg azt hiányolom hogy nem egyéges, ennek ellenére ezt is nagyon szeretem.
Amúgy 6 éve nem olvastam hupot bár az igaz hogy július közepétől szeptember végig nagyjából hetente volt vagy 1 vagy 2 hír hogy mi NEM lesz a vistában de aztán gondolom nem volt mit kihagyni :)
Amúgy érdekes viszont hogy Solarisról mé nem láttam hobát itt a hupon és az is érdekes hogy sokan szidtak oprencereket de a Solarist még kevesen akik meg igen azok meg úgy h unix és ezalatt a címszó alatt a bsd-t a linuxot és a mac os x-et ismerték de konkrétan solarist még nem láttam szidni(amúgy kb 3 és fél éve olvasom a hupot renceresen) :)
Amúgy teszteltem a vista legújabb bétáját és hadd mondjam el tele van hibával meg arról nem is beszélve hogy a vezérlő pulton még ott figyel némelyik 16 színű 98as ikon és hasonló igényességi hibák.
Persze hogy a béta nem bugmentes de az ember 4 és fél év fejlsztés után sztem jóval többet várhat el a MS "következő generációs oprencerétől"

"Amúgy érdekes viszont hogy Solarisról mé nem láttam hobát itt a hupon és az is érdekes hogy sokan szidtak oprencereket de a Solarist még kevesen akik meg igen azok meg úgy h unix és ezalatt a címszó alatt a bsd-t a linuxot és a mac os x-et ismerték de konkrétan solarist még nem láttam szidni(amúgy kb 3 és fél éve olvasom a hupot renceresen) :)"

Olvasod, csak nem figyelmesen. Ez vajon mi?

Solaris Xsun(1) és Xprt(1) helyi sebezhetőség

(egyébként ilyen értelmetlen mondatot ritkán látok, mint amit írtál :-)

--
trey @ gépház

okok!
bocs hogy élek!
Olvasd el a többit is nyugodtan pl azt a részt hogy tapasztalataim alapján az OS X-et nem láttam fagyni meg hogy miket csinál párhuzamosan.
Az írásjelek meg hát siettem bocsánat.
Nem olvasok el mindent nem vagyok fan és az utóbbi hónapban meg kb 5ször néztem fel. Amúgy meg a Miskolci IIT-ben meg nem találsz senkit íki azt mondaná hogy rossza a solaris még ha sparcot rossznak is tartja.
De mivel tudtál reagálni elképzelhetőnek tartom h értetted a lényeget.
De azért bocs mindenért.

"Persze hogy a béta nem bugmentes de az ember 4 és fél év fejlsztés után sztem jóval többet várhat el a MS "következő generációs oprencerétől""

Úgy gondolom ezt válaszoltam.
Olvasd el a többi részét is.
És mellékesen pl a Debian unstable valaogy mégis működik lehe hogy nem teljesen stabil de lehet telepíteni9 ami sztem előny :P .
Amúgy az igénytelenség is ott figyel.
Mint azt írtam is a 16 színű ikonok ott figyelnek a 98ból a nemtomhány millió színűek mellett.
És a szupergyors kereső meg csak akkor gyors ha 4 megára szűkíted a a keresési helyet.
Mellesleg utánaéreklődtem és a gyors keresés akkor lehetséges ha indexel a fájlrencer ezért winfs nélkül ez elég nehéz és gondolom az ntfs-t meg máár nem agyon fejlesztik agyon.
Amúgy meg nem elég kiforrott és letisztult.
Az ablak tele volt olyan opciókkal amit 1 évben 1szer ha használnék. Ez nem baj de rejtsék el menübe és toljan 30 opciót külön gombokon a pofámba.
És amúgy elvileg ebben a bétában a guit a vidkártya számolja de ehhez képest olyan gyönyörű csíkokat húz. A ciki az hogy 1 ablaknál nem is rossz de megnyitottam a 2.-at és utána a repcsi megirigyelhetné.
Mellesleg nem lehet semit telepíteni. Ja de a nerot sikerült.
Mint korábban írtam nem mondtam h legyen bugmentes de hát 2001 óta fejlesztik és az xphez képest nem látok benne sokkal többet és ami több az se valami forradalmi.
Magyarán 4 és fél év után télleg többet várnék.
És a csillivilli felületek meg kiegészítők úgyh alapból meg nem is olyan szép mint gondolnátok

( prezidente | 2006. 02. 22., sze – 17:45 )

Félre ne értse senki a linuxot nagyon szeretem :)