Los expertos de Secunia han identificado una nueva vulnerabilidad de Safari. La compañía califica este fallo de seguridad como “extremadamente crítico” y afirma que puede ser aprovechado con malos fines.
La vulnerabilidad se debe a un error en la conversión en archivos ZIP de los meta datos de asociación de archivos (almacenados en la carpeta “_MACOSX”) que puede ser aprovechado para hacer que Safari ejecute automáticamente un Shell script malicioso que se esconde en un archivo con una extensión segura almacenado en un ZIP.
En circunstancias normales, los Shell scripts empiezan con una línea “shebang” como “’#!/bin/bash” que indica qué intérprete debe hacerse cargo de su ejecución. Si esta línea se omite, Mac OS X cargará el script en la Terminal, donde será ejecutado por una shell.
Si a un script se le pone una extensión como jpg o mov y se almacena en un archivo ZIP, Mac OS X añadirá un archivo de metadatos binarios que determinará su asociación. Este metaarchivo dice al sistema operativo que abra el archivo con la aplicación Terminal, independientemente de su extensión o el símbolo que aparezca en el Finder. La terminal redireccionará los scripts que no tengan una línea intérprete directamente a la Bash Shell estándar de OS X.
Otro peligro de este fallo de seguridad es que es vulnerable incluso simplemente al visitar una web maliciosa.
Los usuarios pueden mitigar la amenaza deshabilitando en Safari la opción “Abrir archivos seguros tras la descarga”, que aparece seleccionada por defecto. Otra opción es trasladar la aplicación Terminal a una carpeta diferente, ya que el archivo de metadatos siempre contiene rutas absolutas a las aplicaciones que deben utilizarse para abrir sus contenidos. Sin embargo, cuando queramos proceder a la actualización de la Terminal tendremos que recolocarla en su carpeta original. De lo contrario podrían surgir problemas.
Además, Secunia ha lanzado un test que los usuarios que lo deseen pueden utilizar para comprobar si su sistema ha sido afectado.
La vulnerabilidad ha sido confirmada en un sistema actualizado en el que se utiliza Safari 2.0.3 (417.8) y Mac OS X 10.4.5.
El problema es exclusivo de Safari, y no afecta a WebKit.
Fuentes: Macworld y Mac Daily News
Exacto. Este fallo es bastante grave, como se puede demostrar en el test de Secunia… y hay que tener en cuenta que el programa «desempaquetado», al no ser una aplicación, sino un script de shell, indica correctamente en la información que se trata de un documento Terminal.app, pero la extensión y el icono son los que haya deseado el creador de la infracción.
Y debido a la posibilidad de que una página realice un refresco para que descargues un archivo, un sitio web malicioso puede realizar operaciones en tu ordenador SIN PROBLEMAS. Esto sí que es un pedazo de puerta trasera…
Te cito Juan;
«Esto sí que es un pedazo de puerta trasera…»
Y que lo digas, no lo del otro día con el famoso gusano que mira que ríos de tinta hizo correr, por eso decía que lo de los virus o no virus, para mi es una cuestión «mediática» pero que cosas como estas me preocupaban mucho más.
Lo he puesto en el DaboBlog ayer de noche pero por si puede aportar algo más de luz
——
«Hola, me están llegando bastantes correos, comentaros que podéis dejar la información aquí y las respuestas valdrán para más gente -:)
Como he dicho arriba en la noticia, lo de Safari es una manera de prevenir algo muy muy duro que no es otra cosa que un ataque “automatico” para que se entienda cuando se visita una página web especialmente manipulada y Safari se tiene activado con esa aberración de apertura automática.
El otro problema de un archivo ZIP manipulado para explotar esta vulnerabilidad, es otra historia, ahora si que os recomiendo más que nunca que os organicéis, hay que adquirir hábitos de control que hasta ahora muchos no estabáis llevando a cabo, las descargas controladas en un solo sitio, antes de ejecutar o abrir un archivo que no sea de toda vuestra confianza revisarlo bien a fondo y no ejecutéis nada que no sea de una procedencia fiable cien por cien pero aún así también comprobarlo.
No usar la cuenta de admin como norma, autenficaros con la de usuario cuando el sistema os lo pida, más que nunca estar preparados para un posible desastre en forma de pérdida de información, los backups que antes igual los hacíais de forma muy esporádica, ahora tienen que ser un hábito y no verlo como una pérdida de tiempo sino al revés.
Este es un Bug realmente grave, no hay alarmismo extra y el sistema operativo, por mucho núcleo Unix que lleve dentro, ahora mismo está expuesto.
Por último y para paliar una parte del problema, aparcar vuestro Safari hasta que todo se aclare, (yo no lo uso pero lo aparcaría aún quitando esa opción) instalar un Firefox y esperar a que Apple lo solucione rápido por la cuenta que les trae.
No creo que sea fácil la verdad pero…cuando quieren, bien que sacan pecho, a ver ahora si están a la altura y no caen en errores de su vecino Microsoft…. »
—–
Lo dicho, Safari con esa opción es solo una parte del problema, quizás la que más llame la atención por lo que comenta Juan, la posibilidad de ejecución de código automáticamente vía web pero el sistema de archivos es sensible ahora mismo a un ataque que de llevarse a cabo sería de un impacto enorme.
No es alarmismo, os lo aseguro.
Saludos -:)
Ya ha empezado a circular el exploit masivamente para explotar la vulnerabilidad remota vía Safari.
———-
La descripción;
‘Description’ =>
Pex::Text::Freeform(qq{
This module exploits a vulnerability in Safari’s «Safe file» feature, which will
automatically open any file with one of the allowed extensions. This can be abused
by supplying a zip file, containing a shell script, with a metafile indicating
that the file should be opened by Terminal.app. This module depends on
the ‘zip’ command-line utility.
}),
———-
La verdad es que lo analizas y a pesar de que las líneas de código que tiene no son pocas, es sencillo en su arquitectura y te das más cuenta de lo grave que realmente es.
A estas alturas supongo que casi todo el mundo al menos de lo de Safari se habrá enterado.
Preocupados saludos
Dabo
El asunto es muy grave. Pero parte de la responsabilidad es de los usuarios que exigen que todo sea automático, que todo se haga solo, que ni siquiera tengan que hacer doble clic en un fichero para abrirlo, que todo les salte a los ojos sin esfuerzo.
Delegar el control en una máquina es arriesgado, y siempre hay que calcular qué riesgos se asumen.
Otra parte de responsabilidad recae en las empresas de software, que se pliegan a esta demanda sin exponer las contrapartidas negativas.
«Delegar el control en una máquina es arriesgado, y siempre hay que calcular qué riesgos se asumen»
Totalmente de acuerdo contigo, la comodidad, en informática muchas veces se paga, por mi parte y sin más que decir sobre este recordar lo que llevo diciendo todo el día en un montón de sitios
Esta actuación sobre Safari (la desactivación de la ejecución automática) lo que impide es la posibilidad de recibir un ataque vía Safari y la ejecución automática de archivos una vez descargados pero no soluciona el problema a la hora de manipular localmente un archivo .zip conteniendo código malicioso.
Además, viendo el exploit, uno se hace idea de lo fácil que puede ser lanzar el ataque sobre otra aplicación.
Saludos -:)
Una solución al problema pasa por trasladar el programa Terminal fuera de la carpeta Utilidades, de tal modo que cuando el script intenta ejecutarse da error. Si probais el test de Secunia con el Terminal cambiado de sitio vereis que no se puede ejecutar ningun script y que no se puede abrir la calculadora (tal como hace el test).
Si descargas el ZIP y lo descomprimes a mano el archivo que aparece es un .mov, sin embargo si miras sus propiedades aparece como un «Documento terminal.app».
Si lo abres con QuickTime, obviamente, no se abre.
Usuarios MAC bienvenidos al mundo real como diria Morpheus a Neo en The Matrix
Nuevo virus que amenaza a las Macs
Expertos en seguridad aseguraron que en cuestión de una semana se han identificado dos nuevos virus informáticos dirigidos a los ordenadores Macintosh de Apple Computer.
Según la compañía de antivirus Symantec, el nuevo virus detectado es denominado OSX Ingtana A, se extiende a través de una vulnerabilidad en el sistema operativo OSX Apple a través de conexiones inalámbricas Bluetooth.
“La semana pasada se identificó al OSX/Leap-A, que se cree era el primer virus creado contra la plataforma Mac. Ese virus intenta propagarse a través del programa de mensajería instantánea iChat de Apple, que es compatible con el popular sistema de mensajería instantánea AIM de America Online” señala IBLNEWS.com.
Este nuevo virus intenta usar las conexiones Bluetooth para propagarse buscando otros dispositivos que usen el Bluetooth que aceptarán la solicitud de conexión cuado el ordenador es reiniciado, asegura Symantec. El Bluetooth es una tecnología inalámbrica usada para transmitir datos entre dispositivos a una corta distancia
«los usuarios que exigen que todo sea automático, que todo se haga solo, que ni siquiera tengan que hacer doble clic en un fichero para abrirlo, que todo les salte a los ojos sin esfuerzo.»
¿No es eso en buena parte la base de la filosofía que tanto nos gusta de nuestro amado Mac?
No es por hacer leña del arbol caido, pero como podeis ver la seguridad de OSX no es demasiado defendible. Es un sistema operativo que ha estado a la sombra durante años, con un numero de usuarios reducido y sin interes alguno por parte de los hackers. Ahora que apple se ha metido en el mercado masificado de clonicos PC la cosa parece estar cambiando…
No vamos a comparar el Software de Apple con el de Microsoft por dos simples virus, no son los mil millones de virus que tiene Windows, por favor, en windows salen a diario ya ni son noticia!!!
truximan: «Pero parte de la responsabilidad es de los usuarios que exigen que todo sea automático, que todo se haga solo, que ni siquiera tengan que hacer doble clic en un fichero para abrirlo, que todo les salte a los ojos sin esfuerzo.»
Perdoname..pero este comentario es muy poco feliz…esa fue idea de apple…casi la razon de ser!!!!
Stroknik: si…si pero no te confudas: bien podriamos decir «no vamos a comparar el soft de microsoft con el de apple por unos pocos usuarios comparados con los millones de windows»
me llamo la atencio ver que en el diario clarin de buenos aires aparecio una nota sobre las fallas de seguridad de mac os mencionadas aqui, les dejo el link:
http://www.clarin.com/suplementos/informatica/2006/02/22/f-01146089.htm
Y aqui diario La Nacion:
http://buscador.lanacion.com.ar/Nota.asp?nota_id=781591&high=mac
Mac para Intel…. y curiosamente… empiezan los problemas….¿Dónde está la mano negra? ¿Quién invierte en ello?
¿Qué mano negra ni qué niño con bigote?
Que hablen de mí aunque sea mal.
Esto es publicidad impagable. Y si dicen los periódicos que existe una alternativa a Windows que lleva toda la vida sin problemas con virus, ¿qué pensara ese usuario, que como del coche, ni idea ni interés tiene en saber cómo funciona un ordenador?
—-
¿No es eso en buena parte la base de la filosofía que tanto nos gusta de nuestro amado Mac?
—
Yo creo que no. Creo que la razón de ser del mac era simplificar las tareas, hacer que se desempeñasen de una forma más natural, humana e intuitiva; no delegar el control en el sistema. Por ejemplo, substituyendo una abstrusa línea de instrucciones para abrir un documento por un simple doble clic sobre su icono. pero sigue siendo el usuario quien da la orden concreta.
Ya despierten de su sueño usuarios de MAC que la verdadera pesadilla poco a poco esta por llegar
Rootkit.Weapox.A. Rootkit para Apple Macintosh
Nombre: Rootkit.Weapox.A
Nombre NOD32: MAC/Rootkit.Weapox.A
Tipo: Caballo de Troya
Alias: Weapox.A, Rootkit.Weapox.A, MAC/Rootkit.Weapox.A, OSX.Weapox, OSX/Weapox.A!rkit, Rootkit.Mac.Weapox.a, Rootkit.MacOS.Weapox.a, Rootkit.Weapox.a, Trojan.Osx.Weapox.A
Fecha: 6/feb/06
Actualizado: 20/feb/06
Plataforma: Macintosh OS X
Tamaño: 27,608 bytes
Se trata de un rootkit que funciona en equipos bajo el sistema operativo Apple Macintosh OS X.
Los rootkits son herramientas que permiten esconder actividades intrusas dentro de un sistema, después de que un atacante ha logrado penetrar en él. Además, proveen vías de acceso ocultas para utilizar nuevamente el sistema en futuras oportunidades.
El nombre rootkit se origina a partir de la idea de que quien lo utiliza puede acceder fácilmente al nivel de root, o de administrador del sistema, una vez la herramienta ha sido instalada.
Puede ocultar procesos y programas del equipo infectado, así como asignarse los máximos privilegios para obtener el control total del sistema.
Monitorea la presencia de ciertos eventos para activarse. Si esto se cumple, entonces realiza su acción maliciosa.
Intenta ocultar la ejecución de algunas herramientas como NETSTAT.
El troyano posee varios errores en su código, que pueden hacer que no funcione correctamente.
Puede ser eliminado si se borran los archivos involucrados.