Digitoday

Valikko

Saksalainen kaivoi esiin vakavan aukon Mac OS X:stä

Mac OS X -käyttöjärjestelmien viime viikon matolöydöt saavat jatkoa vakavasta haavoittuvuudesta, johon ei ole saatavilla korjausta. Hyökkääjä voi hyödyntää aukkoa automaattisesti www-sivun avulla. Haavoittuvuudelle on julkaistu myös hyödyntämismenetelmä.

Haavoittuvuuden löysi saksalainen Michael Lehn. Hän kertoi ongelmasta saksalaiselle Heise.de-verkkolehdelle.

Heise.de kertoi maanantaina, että hyökkääjä voi suorittaa komentoja käyttäjän koneessa, jos käyttäjä vierailee hyökkääjän www-sivulla. Hyökkääjä voi ujuttaa komentosarjansa zip-kansioon, josta Mac OS X suorittaa sen automaattisesti.

Tietoturvayhtiö Secunia julkaisi Lehnin laatimaan proof-of-concept-menetelmään perustuvan vaarattoman testin, jolla voi tarkistaa, onko oma järjestelmä haavoittuva. Yhtiön mukaan haavoittuvuus on vahvistettu Mac OS X:n 10.4.5 -versiosta.

Ongelma tiedostoassosiaatioissa

Safarin tapauksessa ongelma liittyy oletusasetukseen, jonka mukaan selain avaa automaattisesti turvalliseksi katsotut tiedostot oikealla sovelluksella. Turvallisia tiedostomuotoja ovat muun muassa kuva- ja videotiedostot.

Safari myös purkaa automaattisesti zip-pakatun kansion, jos kyseinen asetus on käytössä, mutta kysyy erikseen käyttäjältä lupaa komentosarjojen suorittamiseen.

Varsinainen ongelma johtuu Mac OS X:n tiedostoassosiaatioista. Jos komentosarja on nimetty esimerkiksi .jpg- tai .mov-tiedostoksi ja sijoitettu zip-kansioon, Mac OS X lisää itse kansioon metatietotiedoston, jonka perusteella järjestelmä avaa komentosarjan käyttöjärjestelmän komentokehotteessa riippumatta tiedostopäätteestä.

Haitallinen jpg-tiedosto sähköpostilla

Heise.de palasi aiheeseen tiistaina ja kertoi, että ongelma on laajempi kuin alunperin arvioitiin.

Hyökkääjä voi naamioida komentosarjan esimerkiksi jpg-tiedostoksi, jolloin Apple Mail -sähköpostiohjelma käyttää tiedostosta jpg-ikonia. Mac OS X avaa sen kuitenkin komentosarjana, jos käyttäjä klikkaa ikonia.

Tietoturvayhtiö Secunia on arvioinut haavoittuvuuden "äärimmäisen vakavaksi". CNET News.comin mukaan Apple on jo ryhtynyt laatimaan tietoturvapäivitystä.

Nettisivuilla toteutettavilta hyökkäyksiltä voi suojautua käyttämällä Firefox- tai Camino-selainta tai kieltämällä Safaria avaamasta luotettuja tiedostoja automaattisesti. Secunia kehottaa Mac OS X:n käyttäjiä olemaan avaamatta epäluotettavista lähteistä saatujen zip-kansioiden sisältämiä tiedostoja.

Internet Storm Centerin analyysi haavoittuvuudesta

Apple antaa ohjeita liitetiedostojen ja ladattujen tiedostojen turvallisesta käsittelystä

Kommentit

    Näytä lisää

    Näitä luetaan!

    1. 1

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    2. 2

      Voimakas matalapaine vyöryy Jäämereltä – meteorologi: ”Voidaan päästä jopa myrskylukemiin”

    3. 3

      Kommentti: Miksi Soinin sairausloman pituutta peiteltiin?

    4. 4

      Jaana Pelkonen avoimena Me Naisille – esikoislapsi tuo onnea, mutta elämässä on läsnä myös suuri surunaihe: ”Enää en itke joka päivä”

    5. 5

      Katso, mitä tapahtui asuntolainan hinnalle – ”Pankin vaihtajia on liikkeellä”

    6. 6

      HS: Pojan kiusaaminen jatkui vuosia – lopulta henkinen kestokyky romahti täysin

    7. 7

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    8. 8

      Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

    9. 9

      Me Naiset: Kirvesniemien Anita-tytär ja serkku Manuela Bosco harvinaisessa haastattelussa: ”Nuorempana ärsytti, kun harvinainen sukunimi tunnistettiin niin helposti”

    10. 10

      Alastonkuvien takia missikruununsa menettänyt näyttelijä poseeraa tyttärensä kanssa lehden kannessa – ”Niin paljon täydellisyyttä yhdessä kuvassa”

    11. Näytä lisää
    1. 1

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    2. 2

      Järkyttävä tragedia golfin huipputurnauksessa – ”Kaikki ovat shokissa ja järkyttyneitä”

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      X Factor -finalistin kotiinpaluujuhla kalpeni selvästi Saara Aallolle – Helsinki-hysteriassa moninkertainen yleisömäärä

    5. 5

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    6. 6

      Katin ja Mikon loppumaton tuska – tytär ei elä enää pitkään: ”Lapsi jota on niin kovasti toivonut, otetaan pois”

    7. 7

      Sharon Osbourne ”teki kylmät” Saara Aallolle – vaikuttaako mentorin tuen puuttuminen X Factorin voittoon?

    8. 8

      Arman Alizad valitsi Linnan juhlien parhaat pukeutujat – 5 napakymppiä: ”Näytti Kreikan kuningattarelta”

    9. 9

      Ruben Stiller yllättäen pois tv-ruudusta

    10. 10

      Uutuuskirja: Miksi Adolf Ehrnrooth ammutti tykeillä omia miehiään?

    11. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    4. 4

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    5. 5

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    6. 6

      Perhesyyt eivät painaneet? Mika Salolla teoria Nico Rosbergin lopettamisesta: ”Kukaan ei tajua sitä…”

    7. 7

      Todelliset syyt, joiden vuoksi naiset voihkivat seksin aikana

    8. 8

      Linnan jatkoilla nousi hässäkkä – Heikki Lampela ja Hanna Kärpänen sisään vahvassa juhlatunnelmassa: ”Haluan seikkailuja”

    9. 9

      Nainen teki ”pettämistestin” poikaystävälleen – lopputulos ei ilahduttanut, videolla jo 6 miljoonaa katselukertaa

    10. 10

      Matti Vanhasen tyrmäävä naisystävä Heidi säväytti Linnassa – sahaperijättären mekko paljasti dekolteen

    11. Näytä lisää

    Näitä luetaan!

    1. 1

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    2. 2

      Voimakas matalapaine vyöryy Jäämereltä – meteorologi: ”Voidaan päästä jopa myrskylukemiin”

    3. 3

      Kommentti: Miksi Soinin sairausloman pituutta peiteltiin?

    4. 4

      Jaana Pelkonen avoimena Me Naisille – esikoislapsi tuo onnea, mutta elämässä on läsnä myös suuri surunaihe: ”Enää en itke joka päivä”

    5. 5

      Katso, mitä tapahtui asuntolainan hinnalle – ”Pankin vaihtajia on liikkeellä”

    6. Näytä lisää
    1. 1

      Raivostunut Matti Nykänen perui keikkansa Kanarialla – ravintola joutui maksumieheksi: ”V**ut minä mitään keikkaa vedä”

    2. 2

      Järkyttävä tragedia golfin huipputurnauksessa – ”Kaikki ovat shokissa ja järkyttyneitä”

    3. 3

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    4. 4

      X Factor -finalistin kotiinpaluujuhla kalpeni selvästi Saara Aallolle – Helsinki-hysteriassa moninkertainen yleisömäärä

    5. 5

      Robinin, 18, Linnan juhlat -asussa mukana yksityiskohta, joka jäi monilta huomaamatta – presidentiltä erityinen pyyntö kättelyjonossa

    6. Näytä lisää
    1. 1

      Poliisi IS:lle: Tällainen tausta Imatran epäillyllä 23-vuotiaalla kolmoismurhaajalla on

    2. 2

      WhatsApp katoaa miljoonista puhelimista – katso, onko omasi listalla

    3. 3

      7 yleisen syövän varhaiset varoitusmerkit – tunnista ajoissa

    4. 4

      Hänellä oli Linnan juhlien rohkein iltapuku – IS:n lukijat äänestivät illan räväyttävimmän pukeutujan

    5. 5

      Tuulenvire paljasti Donald Trumpin omituisen ”asumokan” – netti sekosi lentokentältä napatusta kuvasta

    6. Näytä lisää