Encore une menace pour MacOS X !

Le par  |  101 commentaire(s) Source : ZD Net
Apple Safari logo

Comme on pouvait le craindre, de nouvelles menaces contre MacOS X commencent à émerger.

Comme on pouvait le craindre, de nouvelles menaces contre MacOS X commencent à émerger. Aujourd'hui, c'est une faille affectant la gestion de certains shell scripts sous Safari qui est montrée du doigt.

Apple safari logoPlusieurs sites Internet spécialisés dans la sécurité informatique--Heise, SANS et SunbeltBLOG--évoquent une faille affectant le navigateur Internet Safari d'Apple Computer. Cette vulnérabilité est directement liée à la manière dont ce logiciel lit certains fichiers shell script, et sa dangerosité réside surtout dans le fait qu'une simple visite sur un site piégé peut suffire à provoquer des dommages sur certaines machines.

La faille découle du fait qu'un fichier shell script dont le début comprend des particularités de syntaxe bien précises peut s'exécuter sans aucune intervention de l'utilisateur, même s'il est caché (le fichier, pas l'utilisateur...) à l'intérieur d'une archive compressée. Une fois lancé, ce script devrait ouvrir une fenêtre de Terminal sans vous demander votre avis, et pourrait par conséquent exécuter une commande quelconque si telle était son intention, comme par exemple effacer certaines de vos données personnelles.

Le site allemand Heise Security ( Achtung ! Sie mussen Deutsche sprechen*...) propose donc de vérifier si votre système est ou non affecté par cette faille au moyen d'un simple fichier piégé, mais sans danger, évidemment, et déguisé en image au format JPG, mais au moment où étaient écrites ces lignes, aucun site exploitant cette faille n'était encore repéré.

En attendant une réaction de la part d'Apple Computer, Heise recommande une mesure de contournement en deux volets : en premier lieu, les afficionados de Safari devrait basculer vers d'autres navigateurs Internet, comme Camino ou Firefox, qui, contrairement à Safari, ne comprennent pas l'exécution automatique d'un fichier téléchargé jugé sans risque ; par ailleurs, il est conseillé de désactiver l'option "Ouvrir automatiquement les fichiers sûrs en fin de téléchargement" dans les préférences de Safari.

Dès qu'un correctif est publié, nous nous ferons un devoir de vous en avertir...



* "Vous devez parler allemand..."


Complément d'information

Vos commentaires Page 1 / 11

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #88200
Surtout que c'est encore une connerie monstrueuse. L'horrible faille (ZDNet ferait mieux de fermer sa grande ********) est mise à mort par une simple manipulation :

IL faut aller dans le panneau des préférences (touche pomme + ,), section générale et décocher l'option : "ouvrir automatiquement les fichiers fiables".

Manipulation : 10 secondes, et plus de failles.

Décidément, ZDNet, c'est de la *censuré* !

Et le mieux est d'aller sur Secunia :

http://secunia.com/advisories/18963/

Et cf cette note de mon blog :

http://frederic.bezies.free.fr/blog/'p=172

Dommage que le sensationnalisme l'emporte sur les recherches et l'information
Le #88202
Et, tu sais aussi que nombre de faille sous windows sont "annulable" par de telle manip '

Exemple : toute les faille VBscript, javascript, les mails contenants justement des script, les macro word,....

Mais pourtant, ce sont quand même des failles,. Et les utilisatauer de windows n'ont pas peur de le dire
Marrant quand la même situation se produit pour windows, les pro macs linchent direct. Et là.... a ben non pas faille, faut fermer "sa grande geule" (tant d'agréssivité, on croierais touché à ta femme ou un de tes enfants pffff).

Enfin, les failles, s'est commes les boutons chez les ados. Les premiers, on rouspète dessus, on les cachent pour pas que les autres les voies puis après, on vis avec.

Tien, idée de nouveau titre pour cette news : "Mac os commence sa puberté"
Le #88203
@NorahJones
Toi qui est fan de secunia :
http://secunia.com/advisories/18963/

Alors quand c'est pour Windows se sont des failles, pour MacOSX se sont des "feature"...
Mauvaise fois...

Tous les systèmes ont des failles, faut pas se leurer...


PS : NorahJones tu as édité ton post avant que je finise le mien, je le laisse tel quel, mis à part le PS
Le #88205
freesket : jette un oeil à mon blog et tu verras que c'est encore du vent... Décidément, la course au sensationnalisme

"Alors quand c'est pour Windows se sont des failles, pour MacOSX se sont des "feature"...
Mauvaise fois..."

No comment... ZDnet a encore perdu une occasion de fermer sa ******...

Edit: STP, reste poli. Merci
Le #88206
(Caché au fond d'une tranchée, en cette date anniversaire du début de la bataille de Verdun ; casque lourd sur la tête ; boules Quiès solidement enfoncées dans les noreilles ; masque à gaz vissé sur le pif ; à réciter "il n'y a que faille qui m'aille" et chercher dans mon dictionnaire français-occitan ce que signifie "fitcheure"...)

Vivement demain, qu'on trouve une nouvelle faille... pardon, particularité sous Windows !
Le #88207
Faudrait arrêter les FUDs.
Ars technica (hautement plus respecté que generation-nt vu qu'ils ne se contentent pas de diffuser des informations sans réfléchir...) a totalement démenti l'idée de virus pour Leap-A.
http://arstechnica.com/news.ars/post/20060220-6221.html

"Despite the trojan's harmlessness, a number of sites are seizing on this, calling it the first Mac OS X virus to be discovered.

Je crois qu'on parle de vous ...

Par contre, la faille de safari en est vraiment une.
Le #88209
ndjpoye :
"Marrant quand la même situation se produit pour windows, les pro macs linchent direct. Et là.... a ben non pas faille."

Ah, je suis un pro-mac, ou juste un utilisateur d'un système que Microsoft a suffisamment mal copié pour éviter d'être traité de plagieur ' )
Le #88210
ndjpoye : t'avais raison, ça A fusé...
Le #88212
pelo : tu crois que tu n'y vas pas un peu fort '

"Par contre, la faille de safari en est vraiment une."

J'ai réinstallé il y a 2-3 jours mon MacOS-X (avec une mise à jour 10.4.5) et sauf erreur de ma part, la fonction fautive est désactivée par défaut.

Faille, d'accord. Mais faille exploitable ' Cela reste à voir

L'autre ver, le "inq"-je ne sais plus quoi se base sur une faille corrigée il y a plus de 6 mois par Apple...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]