Logo GNT
Actualités Tests & Guides Bons Plans
GTA 6 iPhone 17 Copilot Switch 2 Temu ChatGPT Tesla
OVH Cloud OVH Cloud
Entraide Mac OS Autres OS Mac OS X Faille HelpViewer : Security Update 2004-05-24

Faille HelpViewer : Security Update 2004-05-24

33 réponses
Avatar
laurent.pertois
Bonjour,


Apple vient de sortir une MAJ de sécurité qui met à jour le HelpViewer.

Je ne sais pas ce qu'ils ont corrigé (ils ont mis à jour le binaire de
HelpViewer) mais en tous cas, si je réactive le protocole help:, quand
je colle ceci dans Safari :

<help:runscript=MacHelp.help/Contents/Resources/English.lproj/shrd/OpnAp
p.scpt%20string='bin:ls'>

Maintenant, ça me lance bien l'aide mais plus le Terminal, donc ça
semble corrigé, si l'un de ceux qui a poussé l'investigation plus loin
peut confirmer...

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Signaler un problème avec ce contenu

10 réponses

Supprimer
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire

Veuillez sélectionner un problème

Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
1 2 3 4
Avatar
Patrick Stadelmann
In article <1ge60bw.9mc9t6clm8nvN%,
(Laurent Pertois) wrote:

Maintenant, ça me lance bien l'aide mais plus le Terminal, donc ça
semble corrigé, si l'un de ceux qui a poussé l'investigation plus loin
peut confirmer...


Ca semble réglé, en effet. Ils ont probablement interdit l'utilisation
de "runscript" depuis les URL externes à l'Aide. Par contre, en interne
ça fonctionne toujours, l'Aide peut donc toujours lancer des applis.

Patrick
--
Patrick Stadelmann

Avatar
benoistf
Laurent Pertois wrote:

Bonjour,

Apple vient de sortir une MAJ de sécurité qui met à jour le HelpViewer.
Ouaip. Egalement disponible pour les jaguaristes.

Et en plus, pas de reboot nécessaire. :)

--
Benoist

Avatar
laurent.pertois
Benoist Felsenheld wrote:

Apple vient de sortir une MAJ de sécurité qui met à jour le HelpViewer.


Ouaip. Egalement disponible pour les jaguaristes.


Ouaip, je viens de voir ça sur VT.

Et en plus, pas de reboot nécessaire. :)


Ben, l'installeur ne fait que remplacer HelpViewer, il ne touche à rien
d'autre, ça serait malheureux ;-)

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.


Avatar
laurent.pertois
Patrick Stadelmann wrote:

Ca semble réglé, en effet. Ils ont probablement interdit l'utilisation
de "runscript" depuis les URL externes à l'Aide. Par contre, en interne
ça fonctionne toujours, l'Aide peut donc toujours lancer des applis.


Tous les détails sur les updates qui viennent de paraître :

Security Update 2004-05-24 for Mac OS X 10.3.3 "Panther" and Mac OS X
10.3.3 Server

HelpViewer: Fixes CAN-2004-0486 to ensure that HelpViewer will
only process scripts that it initiated. Credit to lixlpixel
for reporting this issue.


Security Update 2004-05-24 for Mac OS X 10.2.8 "Jaguar" and Mac OS X
10.2.8 Server

HelpViewer: Fixes CAN-2004-0486 to ensure that HelpViewer will
only process scripts that it initiated. Credit to lixlpixel
for reporting this issue.

Terminal: Fixes CAN-2004-0485 to improve URL processing within
Terminal. Credit to René Puls for reporting this issue.


<http://docs.info.apple.com/article.html?artnuma798>

--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.

Avatar
Patrick Stadelmann
In article <1ge660b.zqalod9iko5uN%,
(Laurent Pertois) wrote:

Security Update 2004-05-24 for Mac OS X 10.3.3 "Panther" and Mac OS X
10.3.3 Server

HelpViewer: Fixes CAN-2004-0486 to ensure that HelpViewer will
only process scripts that it initiated. Credit to lixlpixel
for reporting this issue.


Ca ne corrige que les exploits utilisant le protocol help: et donc pas
le problème signalé ici :

http://www.unsanity.com/haxies/pa/whitepaper/

Là, c'est un autre protocole, totalement quelconque, qui est utilisé.
Mac OS X semble en effet capable d'associer automatiquement des
protocoles en examinant les propriétés de l'application !

La seule protection pour l'instant semble être d'installer Paranoid
Android.

Patrick
--
Patrick Stadelmann

Avatar
jperrocheau
Patrick Stadelmann wrote:

Ca ne corrige que les exploits utilisant le protocol help: et donc pas
le problème signalé ici :

http://www.unsanity.com/haxies/pa/whitepaper/

Là, c'est un autre protocole, totalement quelconque, qui est utilisé.
Mac OS X semble en effet capable d'associer automatiquement des
protocoles en examinant les propriétés de l'application !

La seule protection pour l'instant semble être d'installer Paranoid
Android.


OmniWeb semble ne pas vunérable et ne fait rien... hormis:

OmniWeb doesn't recognize "malware" URLs, and can't find a plug-in or
other application which does.



--
Jacques PERROCHEAU
______________________________________________________________
e-mail: mailto:

Avatar
Saïd
Patrick Stadelmann :
La seule protection pour l'instant semble être d'installer Paranoid
Android.



Ou s'installe-t-il ce paraoid android, il est facile a enlever? J'ai
explorer le volume /Volumes/Paranoid andorid 1.0 et je n'ai pas trouve de
liste de fichiers installes.

--
Saïd.

Avatar
Patrick Stadelmann
In article , Saïd
wrote:

Ou s'installe-t-il ce paraoid android, il est facile a enlever? J'ai
explorer le volume /Volumes/Paranoid andorid 1.0 et je n'ai pas trouve de
liste de fichiers installes.


Dans le Read Me qui se trouve dans le paquet d'installation, il est
expliqué comment l'enlever.

Patrick
--
Patrick Stadelmann

Avatar
fra
Laurent Pertois wrote:

HelpViewer: Fixes CAN-2004-0486 to ensure that HelpViewer will
only process scripts that it initiated. Credit to lixlpixel
for reporting this issue.


Security Update 2004-05-24 for Mac OS X 10.2.8 "Jaguar" and Mac OS X
10.2.8 Server

HelpViewer: Fixes CAN-2004-0486 to ensure that HelpViewer will
only process scripts that it initiated. Credit to lixlpixel
for reporting this issue.

Terminal: Fixes CAN-2004-0485 to improve URL processing within
Terminal. Credit to René Puls for reporting this issue.


Tiens ils remercient les découvreurs de bugs !
Ils le faisaient avant ? (C'est sympa en tous cas)
--
Fra

Avatar
fra
Patrick Stadelmann wrote:

Ca semble réglé, en effet. Ils ont probablement interdit l'utilisation
de "runscript" depuis les URL externes à l'Aide. Par contre, en interne
ça fonctionne toujours, l'Aide peut donc toujours lancer des applis.


et pour autre chose qu'un script (une appli sur une dmg) ?
--
Fra

1 2 3 4