In article <1gbu3x7.1rt55111kmdya3N%, (ric zito) wrote:
Oui d'accord. Mais quid les gens qui n'ont pas ce genre de reflexe? S'ils ne font que dbl-cliquer pour lancer le fichier?
C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier a un icône de MP3 que c'est une MP3. Mais c'est franchement pas nouveau, depuis le Système 7, c'est enfantin de remplacer l'icône d'une application par celle d'un fichier et nombre de petit rigolo ont ainsi essayé de faire passer, par exemple, un AppleScript pour un fichier PDF.
Il faut juste savoir à quoi on peut faire confiance (le type de fichier indiqué dans la fenêtre d'info par exemple) et ce qui peut être facilement trafiqué (l'icône).
Patrick
J'ai l'impresssion que vous n'ayez pas lu jusqu'au bout :
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on Mac OS X both ignore file types; they will open the file, taste it, find valid ID3 information followed by an MPEG data stream, and happily proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose). -- ric
ric at pixelligence dot com
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <1gbu3x7.1rt55111kmdya3N%ADDRESS@IN.SIG>,
ADDRESS@IN.SIG (ric zito) wrote:
Oui d'accord. Mais quid les gens qui n'ont pas ce genre de reflexe?
S'ils ne font que dbl-cliquer pour lancer le fichier?
C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier
a un icône de MP3 que c'est une MP3. Mais c'est franchement pas nouveau,
depuis le Système 7, c'est enfantin de remplacer l'icône d'une
application par celle d'un fichier et nombre de petit rigolo ont ainsi
essayé de faire passer, par exemple, un AppleScript pour un fichier PDF.
Il faut juste savoir à quoi on peut faire confiance (le type de fichier
indiqué dans la fenêtre d'info par exemple) et ce qui peut être
facilement trafiqué (l'icône).
Patrick
J'ai l'impresssion que vous n'ayez pas lu jusqu'au bout :
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on
Mac OS X both ignore file types; they will open the file, taste it,
find valid ID3 information followed by an MPEG data stream, and happily
proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
--
ric
In article <1gbu3x7.1rt55111kmdya3N%, (ric zito) wrote:
Oui d'accord. Mais quid les gens qui n'ont pas ce genre de reflexe? S'ils ne font que dbl-cliquer pour lancer le fichier?
C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier a un icône de MP3 que c'est une MP3. Mais c'est franchement pas nouveau, depuis le Système 7, c'est enfantin de remplacer l'icône d'une application par celle d'un fichier et nombre de petit rigolo ont ainsi essayé de faire passer, par exemple, un AppleScript pour un fichier PDF.
Il faut juste savoir à quoi on peut faire confiance (le type de fichier indiqué dans la fenêtre d'info par exemple) et ce qui peut être facilement trafiqué (l'icône).
Patrick
J'ai l'impresssion que vous n'ayez pas lu jusqu'au bout :
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on Mac OS X both ignore file types; they will open the file, taste it, find valid ID3 information followed by an MPEG data stream, and happily proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose). -- ric
ric at pixelligence dot com
patpro ~ patrick proniewski
In article <1gbu44j.xgxdyxgyf8saN%, (Frédérique & Hervé Sainct) wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque .mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un script, par exemple) qui permettrait de détecter ce genre de chose ("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec extension masquée")?
genre... un antivirus ? :)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <1gbu44j.xgxdyxgyf8saN%h.sainct@laposte.net>,
h.sainct@laposte.net (Frédérique & Hervé Sainct) wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
genre... un antivirus ? :)
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
In article <1gbu44j.xgxdyxgyf8saN%, (Frédérique & Hervé Sainct) wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque .mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un script, par exemple) qui permettrait de détecter ce genre de chose ("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec extension masquée")?
genre... un antivirus ? :)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
patpro ~ patrick proniewski
In article <1gbub7q.14t0bhwk8n6bgN%, (ric zito) wrote:
J'ai l'impresssion que vous n'ayez pas lu jusqu'au bout :
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on Mac OS X both ignore file types; they will open the file, taste it, find valid ID3 information followed by an MPEG data stream, and happily proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose).
non, iTunes ne le joue pas, car c'est une application, et que comme tel elle est lancée directement. MAIS, le fichier reste lisible par l'intermédiaire d'une playlist, d'un drag&drop sur l'icone de l'appli de lecture ... L'astuce de la PoC, c'est de commencer par dire a iTunes de jouer le fichier en temps qu'audio, et pendant ce temps, pif paf, vérole de la machine.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <1gbub7q.14t0bhwk8n6bgN%ADDRESS@IN.SIG>,
ADDRESS@IN.SIG (ric zito) wrote:
J'ai l'impresssion que vous n'ayez pas lu jusqu'au bout :
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on
Mac OS X both ignore file types; they will open the file, taste it,
find valid ID3 information followed by an MPEG data stream, and happily
proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
non, iTunes ne le joue pas, car c'est une application, et que comme tel
elle est lancée directement. MAIS, le fichier reste lisible par
l'intermédiaire d'une playlist, d'un drag&drop sur l'icone de l'appli de
lecture ... L'astuce de la PoC, c'est de commencer par dire a iTunes de
jouer le fichier en temps qu'audio, et pendant ce temps, pif paf, vérole
de la machine.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
In article <1gbub7q.14t0bhwk8n6bgN%, (ric zito) wrote:
J'ai l'impresssion que vous n'ayez pas lu jusqu'au bout :
"Interesting things I discovered: iTunes 2 on Mac OS 9 and iTunes 4 on Mac OS X both ignore file types; they will open the file, taste it, find valid ID3 information followed by an MPEG data stream, and happily proceed to play it."
Ce n'est pas un simple icône changé. iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose).
non, iTunes ne le joue pas, car c'est une application, et que comme tel elle est lancée directement. MAIS, le fichier reste lisible par l'intermédiaire d'une playlist, d'un drag&drop sur l'icone de l'appli de lecture ... L'astuce de la PoC, c'est de commencer par dire a iTunes de jouer le fichier en temps qu'audio, et pendant ce temps, pif paf, vérole de la machine.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
listes
Fra wrote:
'affectera pas le système ou les applis ; dès lors il lui sera assez difficile de se propager.
Il peut affecter ~/Applications et se transmettre par mail, voire utiliser une éventuelle faille de sécurité pour s'attribuer des privilèges d'admin. Ou bêtement capturer le mot de passe lors d'une installation ultérieure. Enfin, je suppose...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Fra <fra@alussinan.org> wrote:
'affectera pas le système ou
les applis ; dès lors il lui sera assez difficile de se propager.
Il peut affecter ~/Applications et se transmettre par mail, voire
utiliser une éventuelle faille de sécurité pour s'attribuer des
privilèges d'admin. Ou bêtement capturer le mot de passe lors d'une
installation ultérieure. Enfin, je suppose...
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
'affectera pas le système ou les applis ; dès lors il lui sera assez difficile de se propager.
Il peut affecter ~/Applications et se transmettre par mail, voire utiliser une éventuelle faille de sécurité pour s'attribuer des privilèges d'admin. Ou bêtement capturer le mot de passe lors d'une installation ultérieure. Enfin, je suppose...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Patrick Stadelmann
In article <1gbu44j.xgxdyxgyf8saN%, (Frédérique & Hervé Sainct) wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque .mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un script, par exemple) qui permettrait de détecter ce genre de chose ("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Patrick -- Patrick Stadelmann
In article <1gbu44j.xgxdyxgyf8saN%h.sainct@laposte.net>,
h.sainct@laposte.net (Frédérique & Hervé Sainct) wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1gbu44j.xgxdyxgyf8saN%, (Frédérique & Hervé Sainct) wrote:
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque .mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un script, par exemple) qui permettrait de détecter ce genre de chose ("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec extension masquée")?
Une fenêtre du Finder en vue par liste et le tour est joué.
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article <1gbub7q.14t0bhwk8n6bgN%, (ric zito) wrote:
Ce n'est pas un simple icône changé.
Si c'est exactement ça : la PoC est une application (ie quand on l'ouvre, elle s'exécute) déguisée en fichier MP3. Assez bien déguisée puisque iTunes va être capable de jouer le fichier. Le déguisement n'est pas effectué à l'aide d'une icône collée sur l'application, mais via l'extension.
iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose).
Non, iTunes ne va exécuter aucun code dans le fichier. Si le MP3 est glissé dans iTunes, il sera lu comme un MP3 normal, le virus ne pourra pas être exécuter. Pour que le code viral soit exécuté, il faut ouvrir le fichier dans le Finder. Je répète qu'une simple présentation en mode liste permet de voir immédiatement que le fichier en question est une application et donc de détecter la supercherie.
Patrick -- Patrick Stadelmann
In article <1gbub7q.14t0bhwk8n6bgN%ADDRESS@IN.SIG>,
ADDRESS@IN.SIG (ric zito) wrote:
Ce n'est pas un simple icône changé.
Si c'est exactement ça : la PoC est une application (ie quand on
l'ouvre, elle s'exécute) déguisée en fichier MP3. Assez bien déguisée
puisque iTunes va être capable de jouer le fichier. Le déguisement n'est
pas effectué à l'aide d'une icône collée sur l'application, mais via
l'extension.
iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
Non, iTunes ne va exécuter aucun code dans le fichier. Si le MP3 est
glissé dans iTunes, il sera lu comme un MP3 normal, le virus ne pourra
pas être exécuter. Pour que le code viral soit exécuté, il faut ouvrir
le fichier dans le Finder. Je répète qu'une simple présentation en mode
liste permet de voir immédiatement que le fichier en question est une
application et donc de détecter la supercherie.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1gbub7q.14t0bhwk8n6bgN%, (ric zito) wrote:
Ce n'est pas un simple icône changé.
Si c'est exactement ça : la PoC est une application (ie quand on l'ouvre, elle s'exécute) déguisée en fichier MP3. Assez bien déguisée puisque iTunes va être capable de jouer le fichier. Le déguisement n'est pas effectué à l'aide d'une icône collée sur l'application, mais via l'extension.
iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose).
Non, iTunes ne va exécuter aucun code dans le fichier. Si le MP3 est glissé dans iTunes, il sera lu comme un MP3 normal, le virus ne pourra pas être exécuter. Pour que le code viral soit exécuté, il faut ouvrir le fichier dans le Finder. Je répète qu'une simple présentation en mode liste permet de voir immédiatement que le fichier en question est une application et donc de détecter la supercherie.
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article , patpro ~ patrick proniewski wrote:
L'astuce de la PoC, c'est de commencer par dire a iTunes de jouer le fichier en temps qu'audio, et pendant ce temps, pif paf, vérole de la machine.
Rien de neuf, c'est ce que fait tout cheval de Troie.
Patrick -- Patrick Stadelmann
In article <patpro-6F7C4D.22263606042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
L'astuce de la PoC, c'est de commencer par dire a iTunes de
jouer le fichier en temps qu'audio, et pendant ce temps, pif paf, vérole
de la machine.
Rien de neuf, c'est ce que fait tout cheval de Troie.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
L'astuce de la PoC, c'est de commencer par dire a iTunes de jouer le fichier en temps qu'audio, et pendant ce temps, pif paf, vérole de la machine.
Rien de neuf, c'est ce que fait tout cheval de Troie.
Patrick -- Patrick Stadelmann
Saïd
Patrick Stadelmann :
In article <1gbub7q.14t0bhwk8n6bgN%, (ric zito) wrote:
Ce n'est pas un simple icône changé.
Si c'est exactement ça : la PoC est une application (ie quand on l'ouvre, elle s'exécute) déguisée en fichier MP3. Assez bien déguisée puisque iTunes va être capable de jouer le fichier. Le déguisement n'est pas effectué à l'aide d'une icône collée sur l'application, mais via l'extension.
iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose).
Non, iTunes ne va exécuter aucun code dans le fichier. Si le MP3 est glissé dans iTunes, il sera lu comme un MP3 normal, le virus ne pourra pas être exécuter. Pour que le code viral soit exécuté, il faut ouvrir le fichier dans le Finder. Je répète qu'une simple présentation en mode liste permet de voir immédiatement que le fichier en question est une application et donc de détecter la supercherie.
Mais comment iTunes arrive-t-il a le jouer? Une application c'est bien un repertoire sous Mac OS X, avec plein de trucs en dessous.
Ou alors comment un fichier peut-il a la fois etre execute et lu comme un mp3?
-- Saïd.
Patrick Stadelmann :
In article <1gbub7q.14t0bhwk8n6bgN%ADDRESS@IN.SIG>,
ADDRESS@IN.SIG (ric zito) wrote:
Ce n'est pas un simple icône changé.
Si c'est exactement ça : la PoC est une application (ie quand on
l'ouvre, elle s'exécute) déguisée en fichier MP3. Assez bien déguisée
puisque iTunes va être capable de jouer le fichier. Le déguisement n'est
pas effectué à l'aide d'une icône collée sur l'application, mais via
l'extension.
iTunes le joue, et par conséquent
peut exécuter le code virale (enfin, je suppose).
Non, iTunes ne va exécuter aucun code dans le fichier. Si le MP3 est
glissé dans iTunes, il sera lu comme un MP3 normal, le virus ne pourra
pas être exécuter. Pour que le code viral soit exécuté, il faut ouvrir
le fichier dans le Finder. Je répète qu'une simple présentation en mode
liste permet de voir immédiatement que le fichier en question est une
application et donc de détecter la supercherie.
Mais comment iTunes arrive-t-il a le jouer? Une application c'est bien un
repertoire sous Mac OS X, avec plein de trucs en dessous.
Ou alors comment un fichier peut-il a la fois etre execute et lu comme un
mp3?
In article <1gbub7q.14t0bhwk8n6bgN%, (ric zito) wrote:
Ce n'est pas un simple icône changé.
Si c'est exactement ça : la PoC est une application (ie quand on l'ouvre, elle s'exécute) déguisée en fichier MP3. Assez bien déguisée puisque iTunes va être capable de jouer le fichier. Le déguisement n'est pas effectué à l'aide d'une icône collée sur l'application, mais via l'extension.
iTunes le joue, et par conséquent peut exécuter le code virale (enfin, je suppose).
Non, iTunes ne va exécuter aucun code dans le fichier. Si le MP3 est glissé dans iTunes, il sera lu comme un MP3 normal, le virus ne pourra pas être exécuter. Pour que le code viral soit exécuté, il faut ouvrir le fichier dans le Finder. Je répète qu'une simple présentation en mode liste permet de voir immédiatement que le fichier en question est une application et donc de détecter la supercherie.
Mais comment iTunes arrive-t-il a le jouer? Une application c'est bien un repertoire sous Mac OS X, avec plein de trucs en dessous.
Ou alors comment un fichier peut-il a la fois etre execute et lu comme un mp3?
-- Saïd.
Patrick Stadelmann
In article , Saïd wrote:
Mais comment iTunes arrive-t-il a le jouer?
Parce que il y a bien un stream MP3 à l'intérieur. Il faudrait encore voir si le fichier est strictement conforme ou pas (la plupart des softs ignorent les erreurs "non fatales" dans un tel fichier).
Une application c'est bien un repertoire sous Mac OS X, avec plein de trucs en dessous.
Non, pas forcément. Une application peut aussi être un simple fichier.
Ou alors comment un fichier peut-il a la fois etre execute et lu comme un mp3?
Ce n'est pas incompatible. Le comportement dépendra de comment le fichier est utilisé. Si on l'ouvre dans le Finder, il sera exécuté (car c'est une application). Si on le glisse dans iTunes, il sera jouer (car il contient un stream MP3).
Patrick -- Patrick Stadelmann
In article <slrnc767js.332.saidNo@brian-ap.lan>,
Saïd <saidNo@spaMquatramaran.ens.france> wrote:
Mais comment iTunes arrive-t-il a le jouer?
Parce que il y a bien un stream MP3 à l'intérieur. Il faudrait encore
voir si le fichier est strictement conforme ou pas (la plupart des softs
ignorent les erreurs "non fatales" dans un tel fichier).
Une application c'est bien un
repertoire sous Mac OS X, avec plein de trucs en dessous.
Non, pas forcément. Une application peut aussi être un simple fichier.
Ou alors comment un fichier peut-il a la fois etre execute et lu comme un
mp3?
Ce n'est pas incompatible. Le comportement dépendra de comment le
fichier est utilisé. Si on l'ouvre dans le Finder, il sera exécuté (car
c'est une application). Si on le glisse dans iTunes, il sera jouer (car
il contient un stream MP3).
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Parce que il y a bien un stream MP3 à l'intérieur. Il faudrait encore voir si le fichier est strictement conforme ou pas (la plupart des softs ignorent les erreurs "non fatales" dans un tel fichier).
Une application c'est bien un repertoire sous Mac OS X, avec plein de trucs en dessous.
Non, pas forcément. Une application peut aussi être un simple fichier.
Ou alors comment un fichier peut-il a la fois etre execute et lu comme un mp3?
Ce n'est pas incompatible. Le comportement dépendra de comment le fichier est utilisé. Si on l'ouvre dans le Finder, il sera exécuté (car c'est une application). Si on le glisse dans iTunes, il sera jouer (car il contient un stream MP3).
