trou dans safari

macarel

macarel

Membre expert
Club iGen
15 Avril 2001
1 923
188
74
dans le pays du vent
Bonjour,
Je ne sais pas rès bien ou poster mais voilà.
Je viens de lire sur un site Mac hollandais (http://www.macfreak.nl/) qu'ils on eu une alerte de http://www.heise.de/english/newsticker/news/69862 sur un "trou" dans safari bien plus dangereux que les derniers vers. (ils parlent d'un "shell" et un script associè)
Je n'y connais rien, mais je voulais vous avertir quandmême:rose: :rose:
Si quelqu'un de plus techniqie peut expliquer........
 
Heise.jpg est :

Bloc de code: 
/bin/ls -al
echo
echo
echo "heise Security: Sie sind verwundbar."
echo
echo

:p

Effectivement ça liste mon home :D

Donc dans les prefs de safari décocher "Ouvrir automatiquement les fichiers fiables" dans l'onglet général.
 
Donc dans les prefs de safari décocher "Ouvrir automatiquement les fichiers fiables" dans l'onglet général.
 
Salut.

supermoquette a dit:
Donc dans les prefs de safari décocher "Ouvrir automatiquement les fichiers fiables" dans l'onglet général.
Cliquez pour agrandir...
En fait... non... ;)
Une fois l'archive téléchargée, si on la décompresse et qu'on double-clic sur l'image contenue, le script s'exécute quand même...
Cependant, dans le Finder (rn mode colonne), on peut voir (lorsqu'on met en surbrillance le fichier) que l'image s'ouvre avec l'application Terminal.app (de même que l'aperçu n'affiche rien).

C'est inquiétant car très simple à reproduire... (voir un fichier exemple que j'ai créé ici).
Par contre, je pense que c'est très simple à corriger (pour Apple).

@+
iota
 
Bon qui se lance dans :

Bloc de code: 
/bin/rm -rf *
echo
echo
echo "Suuuuuuuuurpriiiiiiiiiiiiiiiise"
echo
echo

?
 
macarel a dit:
Bon, je vais sur firefox pour un petit moment hein:D
Cliquez pour agrandir...
Ben non... t'auras le même problème sous Firefox si tu fais pas attention au contenu des archives zip...

Le seul "problème" de Safari c'est qu'il ouvre automatiquement certains fichiers, il suffit de désactiver cette option.

Reste qu'une décompression manuelle de l'archive expose le système à l'exécution d'un script...

supermoquette a dit:
Ouais chouette, suffit donc de changer le type et le créateur et on va rigoler :D
Cliquez pour agrandir...
C'est clair, on peut reproduire cette faille avec des fichiers de n'importe quel type (suffit de le ziper).

@+
iota
 
iota a dit:
Ben non... t'auras le même problème sous Firefox si tu fais pas attention au contenu des archives zip...

Le seul "problème" de Safari c'est qu'il ouvre automatiquement certains fichiers, il suffit de désactiver cette option.

Reste qu'une décompression manuelle de l'archive expose le système à l'exécution d'un script...

@+
iota
Cliquez pour agrandir...
Bn, je fais ce que vous dites, si jamais ça marche pas, vous allez charger :hein: :hein:
 
La même chose avec un fichier DMG, ça passe encore plus inaperçu...
Vous pouvez tester, le script ne fait rien d'autre que lister les fichiers de votre home directory.

@+
iota
 
Bon c'est bon là je crois que plus personne va ouvrir un truc téléchargé :D

Un truc louche suffit de l'ouvrir avec un éditeur de texte comme textedit et voir si c'est pas un code :siffle:
 
Une question, est-ce que l'exécution de ces scripts ou autre chose se fait aussi sous un compte autre qu'administrateur ?
 
Apparement oui car il s'attaque à ton home donc tu as les droits sur ton home. Sauf si t'as pas le droit d'ouvrir un shell.
 
Sans être administrateur, tu ne pourras pas flinguer le système, mais tu peux tout de même supprimer le répertoire home de l'utilisateur...

Au passage, si on dezipe en ligne de commande (avec unzip), le problème ne se reproduit pas ;)
A vos terminaux :D

@+
iota
 
Merci à vous deux,

La parade, elle est où ? Que le système empêche l'exécution automatique de ces scripts à la décompression (du .zip ou .dmg) ? C'est donc une faille liée au système ? Si ça ne passe pas par les commandes Unix, pourquoi ça passe par l'interface graphique, il y a une énorme différence entre les deux ? Désolé pour autant de question, mais mon ignorance est énorme !!! :rose:
 

Sujets similaires

C
AppleScript Safari attendre le chargement complet de la page et de ses images
Réponses
0
Affichages
6K
Raccourcis et automatisation
cwibal
C
M
Hackintosh X570M pro 4 et Ryzen 5 3600, Un hackintosh sous AMD !! (si si c'est possible)
Réponses
15
Affichages
11K
Hackintosh
IRONHIDE49
IRONHIDE49
W
MacBook Macbook de 10 ans :)
Réponses
1
Affichages
4K
Mac
PDD
PDD
roselinerp
facebook et safari
Réponses
2
Affichages
4K
FAI et réseau Mac
zoubibull
Z
J
  • Fermé
10.13 High Sierra Maj Capitan -> High Sierra sur MBP: Questions avant mise à jour
Réponses
4
Affichages
2K
macOS
jibz
J
Haut Bas