Un usuario de Mac ha creado Safe Terminal, una pequeña aplicación que nos ayudara a protegernos contra la reciente y descubierta Vulnerabilidad de Safari.
Recordar que la vulnerabilidad se debe a un error en la conversión en archivos ZIP de los meta datos de asociación de archivos (almacenados en la carpeta “_MACOSX”) que puede ser aprovechado para hacer que Safari ejecute automáticamente un Shell script malicioso que se esconde en un archivo con una extensión segura almacenado en un ZIP.
Por lo que si a un script se le pone una extensión como jpg o mov y se almacena en un archivo ZIP, Mac OS X añadirá un archivo de metadatos binarios que determinará su asociación. Este metaarchivo dice al sistema operativo que abra el archivo con la aplicación Terminal, independientemente de su extensión o el símbolo que aparezca en el Finder. La terminal redireccionará los scripts que no tengan una línea intérprete directamente a la Bash Shell estándar de OS X.
Para mitigar la amenaza se puede deshabilitar en Safari la opción “Abrir archivos seguros tras la descarga”, que aparece seleccionada por defecto.
Comentar también que si no está activa la opción de “Abrir archivos seguros tras la descarga” en Safari, y descargamos el archivo “infectado” tendremos que descomprimir manualmente el zip, y parecerá que contiene un archivo .mov, pero si hacemos doble clic sobre él en realidad estaremos ejecutando un script para Terminal.app.
Según el autor, Safe Terminal ayuda a corregir dicho fallo previniendo la ejecución de scripts sin permiso del usuario. El autor también comenta que esta aplicación soluciona y evita la posibilidad de que un archivo zip ejecute scripts sin permiso del usuario al hacer doble clik sobre el.
Safe Terminal corrige los dos bugs anteriores pero no permite ejecutar archivos .command y .term.
Safe Terminal es gratuito y lo puedes descargar en la web del autor
Noticias relacionadas
Otro problema (más) de seguridad de Mac OS X: Safari y los archivos .Zip
Gravísima vulnerabilidad de Mac OS X
Fuente: Macnn.com
vale,perfecto,pero¿hay que copiar la carpeta o el archivo?dentro de librareria/input managers
Las instrucciones del chisme en cuestión son claras (o eso intentan), dice que copies el archivo.
gracias..
Una cosilla, alguien me puede explicar donde está la carpeta input managers, por que por mas que la busco, no la encuentro en ninguna de ls 3 carpetas de libreria.
el las instrucciones pone que si no existe,la crees dentro de libreria
el las instrucciones pone que si no existe,la crees dentro de libreria
el las instrucciones pone que si no existe,la crees dentro de libreria
perdon me repito
lo acabo de instalar y sigue con el mismo fallo, ejecuta un falso .mov en el terminal que a su vez realmente ejecuta un script que abre la calculadora
Lo que también se puede hacer sin necesidad de instalar nada es:
1-Crear una cuenta de usuario gestionada.Esto es, una limitada en cuanto el tipo de funciones a las que puede acceder.
2-Definir los controles parentales (desde una cuenta de Administrador) para que la cuenta gestionada no pueda hacer uso del terminal.
Así cada llamada al Terminal que haga una aplicación maliciosa enmascarada con un tipo de archivo en el que usualmente confiamos provocará el mensaje de que no estás autorizado a usar el terminal. Ojo: esto sólo protegerá de la ejecución de scripts de Unix, no protege de otros fallos que pueda tener el sistema.
A efectos prácticos para algunos usuarios puede resultar una molestia, sobre todo si utilizan el terminal frecuentemente, pero en fin, para los usuarios normalitos va bien
Personalmente no cambiaría de nombre o movería de sitio la carpeta, pues esto puede causar problemas con futuras actualizaciones del sistema. Habría que volver a dejar las cosas como estaban antes si vamos a actualizar el sistema.
Evidentemente, hasta que Apple haga el consiguiente apaño, habría que utilizar la cuenta gestionada con menos privilegios en el día a dia. Aunque esto siempre es aconsejable (y usar la cuenta con privilegios de administración) a fin de paliar posibles problemas. Pero cada usuario debe evaluar sus necesidades
yo creo que lo mas util es seguir como toda la vida… y cuando te llegue algo no esperado o descargues algo que tengas duda, pues le das a comandi+i y miras a v er que tipo es (si aparecer de terminal, pues ya sabes…
o alguien que sepa que ponga en el script de inicio de terminal un comando que pregunte si quieres seguir (en el .cshrc o algo asi se llamaba)