El navegador de Apple podría tener una vulnerabilidad que puede causar la ejecución de código en la carpeta de usuario.
:UPDATED:
Apple ha confirmado en una declaración que “se toma muy seriamente la seguridad y está investigando activamente este potencial problema de seguridad”. “Mientras que ningún sistema operativo es completamente seguro para todas las amenazas, Apple tiene un excelente record en la identifiación y la rápida correción de vulnerabilidades pòtenciales”.
Es muy posible que tengamos un parche en breves días … de hecho ews muy posible que este parche se lance antes de el fin de semana.
2004-05-18 17:31:45 :UPDATED:
Esta vulnerabilidad ha sido calificada ahora de crítica según la firma de seguridad Pecunia y afecta también al navegador Internet Explorer 5.2. Pecunia advierte que a través de esta vulnerabilidad es posible colocar archivos arbitrarios (como scripts) en ubicaciones conocidas si la preferencia “abrir archivos seguros tras descargar” está activada.
Pecunia recomienda desactivar esta preferencia. para evitar este problema.
2004-05-18 05:45:45
En las preferencias de Safari hay una opción que permite abrir “archivos seguros después de la descarga”. Con esta opción marcada, Safari monta automáticamente las imágenes de disco .dmg.
El problema viene cuando se combina con el comportamiento de el vison de ayuda de Apple que permite arrancar o correr programas a través del protocolo help. Un archivo de ayuda malicisamente preparado podría localizar y lanzar un archivo potencialmente peligroso desde la imágen de disco.
Un link formateado maliciosamente podría tener este aspecto:
“help:runscript=MacHelp.help/Contents/Resources/English.lproj/shrd/OpnApp.scpt%20string=’Volumes:someMountedDMG:sometarget.app'”
En MacFixit , el lector Hugo Díaz propone una modificación del script que previene este problema de seguridad.
Una manera sencilla de evitar este problema es desactivar de las preferencias de Safari la opción de “abrir archivos seguros”.
mierda es mas grave de lo que parece
joder joder joderrrrrr
Si, se podria colar un virus simplemente entrando en una página.
Como todos los dialers esos .exe que se descargan, en las páginas para windows…
A usar el Firefox 😛
A usar el Firefox toca 😛
Yo, por si acaso, he desmarcado la opción en preferencias de Safari. En cuanto a otros navegadores, llevo unos días probando la beta de Omniweb 5.0 y cada vez me gusta más.
Yo nunca lo tuve puesto … XDD, aqui nadie abre nada sin previa revisión del admin de turno … que luego vienen los digustos.
Resulta que yo ya usaba Firefox desde hacia tiempo, pero me bajé esta aplicacion: “dontgotheregurlfriend” y encontró y me parcheo la vulnerabilidad.
http://www.macuser.co.uk/news/news_story.php?id=57745
Fix for OS X security flaw released
[PC Pro] 12:19
A patch to fix the most recently discovered OS X security vulnerability is now available.
Don’t Go There, GURLfriend 1.0 can be downloaded from isophonic.net. It overwrites the offending file with a fixed one.
La aplicacion en cuestion:
http://homepage.mac.com/olliewagner/dgtgf.dmg
Esta recomendación la enviaron a nuestra lista de usuarios….
“Esta vulnerabilidad si es un poco más grave. Por favor todos, hagan lo siguiente:
Bájense esta aplicación:
<http://homepage.mac.com/diggorylaycock/.cv/diggorylaycock/Public/
MoreInternet1.1.1.dmg-link.dmg>
Se llama More Internet. Lo instalan, luego van a System Preferences, lo activan y cambian el protocolo de “help”. Para ese protocolo le asignan TextEdit.
Estoy seguro que apple lo arreglará pronto, pero es mejor prevenir que lamentar.”
saludos,
.
Pero consideren a telnet/ssh y a un ejemplo con el siguiente URL:
telnet://-n%2ftmp%2ftestfile
Esto crea un archivo nuevo llamado ‘testfile’ en /tmp y sobreescribirá un archivo existente del mismo nombre en el mismo lugar.
Este método usa “telnet://” y no “help://” o “disk://”.
Entonces, al menos que piensen cambiar muchos protocolos apuntando a una aplicación como “Chess” ó “TextEdit”,
la mejor opción al momento, hasta que Apple arregle el problema, es usar “Paranoid Android” de Unsanity LLC.
http://www.unsanity.com/haxies/pa/
.