Qualche tempo fa parlavo di OSX.RSPlug.A, definito impropriamente trojan, che ha destato preoccupazione nella galassia dei Mac User. Preoccupazione che, come ho già avuto modo di illustrarvi, appariva del tutto ingiustificata, in quanto il file di cui sopra sfrutta non una falla del sistema, ma la disattenzione dell’utente.
In questi giorni molti di voi ci hanno segnalato il cugino di OSX.RSPlug.A, denominato OSX.Exploit.Meta.Data.B e rubricato da Intego il 21 novembre 2007 come “a basso rischio”.
Il funzionamento di questo nuovo pericolo è del tutto analogo al suo predecessore: trattasi di uno script da terminale mascherato da altro tipo di file (nel primo caso era un plug-in, ora è una immagine jpg).
E analoga è anche la necessità dell’intervento dell’utente perché questo script possa fare danni, a testimonianza di non trovarsi, ancora una volta, di fronte ad un buco di Mac OS.
Una differenza, tuttavia, questa volta c’è. Se nel primo caso gli avvertimenti del sistema circa la pericolosità potenziali abbondavano, mentre pare che Mail.app (il file viene trasmesso come allegato alla posta elettronica) non sia altrettanto prodigo di segnalazioni.
Questo, non fatico ad ammetterlo, è un difetto di Mail.app, un problema che Apple dovrà tempestivamente risolvere nel prossimo futuro. Ma non è un buco della sicurezza.
Rimane valida la valutazione fatta in precedenza: il punto debole di Mac OS X, se esiste, è rappresentato da colui che siede di fronte allo schermo. Tanto più che la maschera da file immagine data a OSX.Exploit.Meta.Data.B è davvero grossolana e buona parte degli utenti Mac è a conoscenza del fatto che l’estensione di un file, nel sistema Apple, non è il depositario unico degli attributi dello stesso.
Da anni sento sostenere dai detrattori di Mac OS l’affermazione secondo la quale la presunta superiore sicurezza del system 10 sia semplicemente dovuta alla sua scarsa diffusione; “quando Mac si diffonderà e gli hacker se ne accorgeranno, i virus per Mac non saranno meno di quelli per Windows”.
Questa affermazione, sbagliata per principio, può essere però applicata a questo caso: la presenza di un numero maggiore di utenti Mac si traduce in un numero maggiore di utilizzatori che possono essere ingannati, con vari livelli di facilità.
Se ci pensate, è un po’ come il gioco delle “tre carte”: sappiamo tutti che nel 99,99% dei casi è una truffa ma, inspiegabilmente, c’è sempre qualcuno che ci casca…
Seguici
melablog è un supplemento alla testata Blogo.it registrata presso il Tribunale di Milano n. 487/06, P. IVA 04699900967. Contatti, Chi siamo, Condizioni di utilizzo, Privacy.
© 2004-2012 Blogo.it, alcuni diritti riservati sotto licenza Creative Commons.
Per informazioni pubblicitarie e progetti speciali su Melablog.it contattare la concessionaria esclusiva Populis Engage.
(2 Voti | Media: 4.5 su 5)
harduru
23 nov 2007 - 10:32 - #1 (nascondi)Tanto rumore x nulla…
I virus o simili per mac sono sempre esistiti… sia pure pochi pochissimi sopratutto nulli se confrontati con quelli degli altri mondi.
Solo che oggi… al minimo starnuto… correte dritti all’ospedale!
Bah… questi switcher….
destroyer85
23 nov 2007 - 10:35 - #2La falla è stata classificata come critica.
http://www.frsirt.com/english/advisories/2007/3958
Qui c’è un test per l’exploit
http://www.heise-security.co.uk/services/emailcheck/demos/go.shtml?mail=apple
preso da PI
vecchio
23 nov 2007 - 10:43 - #3Finché non viene chiesta la password di amministratore si può star tranquilli.
D’altra parte occorre aggiungere un po’ di malizia quando sono necessari privilegi superiori.
Ora provo l’exploit segnalato da destroyer85 (che ringrazio) per vedere se il mio modus operandi è inefficiente in questo caso
vecchio
23 nov 2007 - 10:52 - #4non mi sembra un problema da poco…
Mail.app su 10.4 avvisa che è una applicazione e che può fare danni.
Se si salva l’allegato perde l’icona di anteprima e aprendolo esegue uno script di shell con i privilegi dell’utente che lo lancia (ovviamente) e volendo qualche danno lo può fare (eccome)
Consiglio quindi di aprire sempre da Mail.app che se ne accorge perché una volta sul desktop è colpa nostra e non c’è scampo.
Non so a questo punto come si comporta Mail.app sul 10.5.
Chi fa una prova dal link di destroyer85?
Vester74
23 nov 2007 - 11:24 - #5@ Marcello
perchè l’affermazione è sbagliata “per principio”?
Marcello Majonchi
23 nov 2007 - 11:31 - #6@Vester74
La sicurezza è una caratteristica intrinseca di un prodotto software, dipendente dalla sua architettura e non dalla sua diffusione.
M.
jpiero
23 nov 2007 - 11:34 - #7Sicuramente è un problema, però faccio prima a entrare da terminale e eliminare la cartella system.
Occhio che non sto difendendo Apple o OSX, minimizzando il problema, però purtroppo per chi non ne capisce molto, anche il più stupido dei malware costituisce un problema.
Ho girato per anni su Windows senza antivirus e non ho avuto problemi, (io e molte altre persone che conosco), la mia cugina di 13 anni con tutto l’antivirus ne prende uno ogni 3 mesi.
Rosanero74
23 nov 2007 - 11:45 - #8Io ne vedo un problema, soprattutto per chi come me, ha switchato a Mac da pochissimo ed ancora non è in grado di distinguere operazioni banali da operazioni critiche. Ho installato già alcune cosette scaricate dal sito apple e non mi sono preoccupato più di tanto quando è stata chiesta l’immissione della password. A questo punto credo che tutti quelli inesperti come me siano a rischio. O mi sbaglio?
MacDeluso
23 nov 2007 - 12:17 - #9Scusate l’OT, ho bisogno di sfogarmi.. Sono un assiduo lettore di melablog e da circa una settimana un mac user. Ho aspettato un anno l’uscita di leopard per fare lo switch (prima doveva uscire a giugno, arrivato giugno ho aspettato ottobre) e circa 10 gg fa ho acquistato un bel macbook pro nuovo di palla. La macchina è favolosa, di grande qualità, veramente uno spettacolo rispetto ai portatili in commercio. Purtroppo non posso dire la stessa cosa del SO. Già il fatto di trovarmi tiger installato e il cd di aggiornamento a leopard mi ha dato non poco fastidio, se ho la necessità di reinstallare tutto mi tocca prima installare tiger e poi fare l’update a leo. Ma il nocciolo della questione è un’altra. Il sistema va in crash di continuo. Praticamente mi sono crashate 3/4 delle applicazioni che ho sul dock, terminale compreso. Inoltre in dieci giorni ho dovuto fare 4 riavvii forzati della macchina che non dava segni di vita, uno dei quali subito dopo l’aggiornamento alla versione 10.5.1. Non mi venite a dire che sono sfigato e la macchina è difettata, ho installato vista con bootcamp e purtroppo funziona benissimo. La realtà è che questa versione di leo è esagerato chiamarla beta a mio avviso. L’ultima versione di ubuntu non avrà il dock 3d con effetti di trasparenza, ma è anni luce avanti in termini di affidabilità. Tra le ultime chicche scoperte fresche fresche, abbiamo front row che si chiude inaspettatamente se copio nella cartella “filmati” dei video che quicktime non è in grado di visualizzare e mail che non mi permette di cancellare le caselle di posta (se uno clicca con il tasto destro su di una casella di posta e seleziona “elimina” quest’ultima dovrebbe essere rimossa giusto? o sbaglio qualcosa?). Scusate lo sfogo ma ho deciso di passare a mac perchè mi ero stufato di reinstallare xp ogni 6-8 mesi, ho aspettato un anno per questo portatile e ho speso 2000 euro, non potete immaginare la mia profonda delusione. Che dire, speriamo che gli aggiornamenti non tardino ad arrivare e se avete qualche consiglio da darmi per rimuovere l’odiata casella di posta siete i benvenuti.
Mik
23 nov 2007 - 12:30 - #10X rimuovere la casella di posta si va nelle preferenze account e si cancella da li. Se hai problemi con Leopard, (io non ne ho ne sul G5 ne sul Macbook) tanto vale rimanere a Tiger e aspettare aggiornamenti no?
X quanto riguarda sto pseudovirus, cosa dovrebbe fare di dannoso? A patto di metterlo in funziona intendo? Xkè l’ho scaricato ora e lo sto provando ad installare :D
fix-1
23 nov 2007 - 12:50 - #11@MacDeluso
E’ evidente che la tua installazione o il tuo mac ha qualcosa che non va.
Leopard se installato correttamente su una macchina senza problemi hw funziona benissimo.
Se posso darti una mano lo faccio volentieri
Luca Bernardi
23 nov 2007 - 13:04 - #12“Bah… questi switcher….” queste frasi mi fanno veramente incazzare! E tu chi sei il + bello del pianeta?
fix-1
23 nov 2007 - 13:18 - #13No.. è che credeva che la Apple lavorasse solo per lui…
harduru
23 nov 2007 - 13:35 - #14È innegabile che gli switcher abbiano abbassato la qualità pretesa e spesso avuta dalla Apple. Gli switcher, data la provenienza ambigua, non possono che sentirsi soddisfatti! Beati loro!
Ma se i canoni a cui ero abituato si sono dissolti perchè non lamentarli ?
PS. Non sentitevi offesi dalla parola Switcher. Mica posso dire Pino, Dino, Lino si, Gino e Luca no…
deus
23 nov 2007 - 13:43 - #15forza, aggiornate l’antivirus.
@MacDeluso
ti ringrazio per aver contribuito al finanziamento di nuove serie tv.
@Luca Bernardi
a me invece quelle frasi fanno ridere. se vogliono spendere di più per avere di meno… fatti loro no?
jack.o.matic
23 nov 2007 - 13:43 - #16Apple Mac OS X Mail Attachment Handling Command Injection Vulnerability
Advisory ID : FrSIRT/ADV-2007-3958
CVE ID : GENERIC-MAP-NOMATCH
Rated as : Critical
Remotely Exploitable : Yes
Locally Exploitable : Yes
Release Date : 2007-11-22
Technical Description
A vulnerability has been identified in Apple Mac OS X, which could be exploited by remote attackers or malware to compromise a vulnerable system. This issue is caused by an error in the Mail application that does not properly validate file types before being opened, which could be exploited by attackers to execute arbitrary shell commands by tricking a user into opening a specially crafted email attachment with a trusted file extension (e.g. JPG).
This issue is related to : FrSIRT/ADV-2006-0791
Affected Products
Apple Mac OS X version 10.5 (Leopard)
Apple Mac OS X Server version 10.5 (Leopard)
Solution
FrSIRT is not aware of any vendor-supplied solution.
References
http://www.frsirt.com/english/advisories/2007/3958
http://www.heise-security.co.uk/news/99257
Credits
Vulnerability reported by Heise Security.
fix-1
23 nov 2007 - 13:48 - #17@harduru
Io sono uno switcher ma quello che dici mica mi offende, anzi, mi fa sorridere!
A me sembra che il contributo più grande che ha ottenuto in questi ultimi mesi la Apple arrivi proprio dagli switcher.
Persone con esperienze di sistemi operativi differenti possono ora fare confronti reali tra linux/window/mac os x e fornire grossi contributi.
I canoni a cui eri abituato non sono stati dissolti dagli switcher ma da Apple che si è stancata di di produrre HW e SW per 4 gatti senza ricavare i giusti profitti.
MacDeluso
23 nov 2007 - 13:52 - #18@mik grazie x l’aiuto, almeno 1 problema è risolto anche se mi resta il dubbio di cosa serva la voce “elimina” una volta selezionata una casella di posta..
@fix-1 Grazie per la proposta, dici che possa essere l’aggiornamento da tiger che non è andato del tutto a buon fine? Ho più di qualche cosa che non va.. Se hai tempo e voglia prova a scaricare un filmato flv (quelli di youtube per intenderci), ad inserirlo nella cartella filmati della tua home e ad accedere al menù filmati con front row. Il mio resta in freeze per una decina di secondi e poi si chiude da solo. Oppure con l’ultima versione di Trasmission.. mi si pianta spesso, cosa che ovviamente si può attribuire al programma, ma non mi sembra molto bello che quando seleziono “uscita forzata” mi tocca aspettare 10 min per veder chiudere l’applicazione o addirittura più di qualche volta mi si pianta proprio il sistema rifiutandosi di aprire qualsiasi altro programma o anche di riavviarsi, neache con uno “shutdown - r now” da consolle.. ne avrei altre da dire, ad esempio su parallels, ma non voglio monopolizzare il post con i miei OT..
Mytwocents
23 nov 2007 - 14:00 - #19Visto che MAil è in discussione, anche a voi non fa più il suono quando arriva nuova posta? Io ho due caselle, e quando le controlla dopo un po’ si sente il suono “nessun nuovo messaggio” (mentre ancora sta cercando), e qualche secondo dopo vengono visualizzati i nuovi messaggi (senza suono corrispondente).
Non è niente di grave, però abbastanza “inestetica” come cosa.
Mytwocents
23 nov 2007 - 14:02 - #20MacDeluso
Perché non provi a fare qualche test hardware, a volte questo tipo di malfunzionamenti dipende dalla RAM.
kernel_panic
23 nov 2007 - 14:05 - #21Mjonchi ha scritto: “La sicurezza è una caratteristica intrinseca di un prodotto software, dipendente dalla sua architettura”.
Affermazione piuttosto semplicistica.
Ho sviluppato software di sistema sia per Linux che per Windows e la fonte primaria di buchi di sicurezza non aveva nulla a che vedere con l’architettura, ma con banali implementazioni di funzioni base come strcpy e memcpy, tant’e’ che e’ bastato sostituirle con l’analoga versione che forzava il controllo della lunghezza del buffer per ridurre drasticamente la % di falle.
Se poi pensiamo che e’ bastato aggiungere DEP (data execution prevention) sulle moderne CPU per far fuori un’intera altra classe di buchi di sicurezza si capisce che l’architettura ha solo un parziale ruolo nel complesso mondo della sicurezza.
harduru
23 nov 2007 - 14:06 - #22@fix-1 Meno male che almeno uno non si offende! Infondo siamo sulla stessa barca…
@Deluso Anche a me leopard non convince,ma l’ho installato su un Mac Book Pro 2.4Ghz con 4Mb di ram. Non ho nessun problema apparente. Sicuro di non aver fatto pasticci ?
@Deus Ier ha fatto Il Diavolo veste Prada su sky, film orribile ma cos’ farcito di Mac che sembrava girato da te…
@Tutti Ma cosa succede se col tasto destro vado sull’icona “home” con il mio nome e seleziono la voce “rinomina”? È un virus, un baco o una cosa vecchia oramai risolta ? Bah… di sicuro fa tanto winzoz… Fossi in voi non proverei.
MacDeluso
23 nov 2007 - 14:08 - #23@deus
sono deluso ma non pentito.. il portatile è una bomba, tiger l’ho provato per 2 gg senza alcun tipo di problema e in più il fatto che tra un’ora devo andare da una tipa a rimuoverle l’ennesimo dialer da winxp che le ha fatto spendere 250 euro di connessione ad internet mi tira un pò su il morale..
mi resta un solo dubbio.. magari tu riesci a svelare l’arcano.. sono 2 anni che seguo questo blog e devo ancora capire perchè scrivi commenti.. cerchi adepti alla tua causa, non hai una donna che ti impegna o sei semplicemente incapace di qualsiasi critica costruttiva?
fix-1
23 nov 2007 - 14:08 - #24@MacDeluso
Ti dico subito (e lo puoi verificare su internet) che tutti quelli che hanno fatto l’aggiornamento (non la clean install) da tigher a leopard hanno avuto diversi problemi software, in pratica quelli che descrivi tu.
Transimission funziona perfettamente con leopard sia la versione precedente che l’ultima.
Per i rallentamenti di shutdown e startup prova ad eseguire sudo update_prebinding -root / -force e riavvia.
Questo è necessario farlo manualmente perchè (secondo me) gli installer dei programmi non lo fanno quando è necessario
al404
23 nov 2007 - 14:46 - #25io ho switchato da 1 anno e la prima cosa che ho fatto è stato crearmi un account standard e non usare l’account admin di default… cosa che molti non fanno
2 pecche per Apple:
- sarebbe giusto che il programma di posta avvertisse se si apre un allegato pericoloso, perchè pensiamo sempre che i babbi siano gli altri ma vi ricordate il casino che aveva creato “i love you”? errare è umano, sia per fretta che per distrazione
- non mi spiego perchè il firewall di default non è abilitato?
rogerdodger
23 nov 2007 - 15:20 - #26deus
primo: non si spende di piu nella maniera che fai passare. Tra un vaio e un macbook non c’era quasi differenza di prezzo all’epoca che l’ho preso. E nemmeno ora se poi consideri suite e varie cose che sony non ha
secondo: se io prendo una cosa piuttosto che un’altra è perchè io ritengo sia migliore. E se poi mi ci trovo da dio e voglio solo quella sono fatti miei. Generalizzare lo facevano pure stalin e hitler..
Hardruru
premesso che chi si autoinstalla un virus o simili è un pò bamba, ma non possono essere tutti espertoni. E quindi puo succedere che davanti al computer ci sia mia sorella che non ho che usa il mac solo per lato ludico e da incapace sbaglia a compiere una operazione. Succede. Ma non per questo quelle persone vanno etichettate negativamente.
classic
23 nov 2007 - 15:27 - #27vi allarmate per minuscole cose invece di trovare piccole ca**ate perchè non vi imparate ad usare un mac?
Mik
23 nov 2007 - 15:27 - #28Sono contento che questa discussione stia andando avanti senza troppe polemiche, mi sembra che per una volta riusciamo a parlare e non a scontrarci.
@MacDeluso: Il problema non può essere nella RAM perchè se Tiger e Vista ti funzionano bene non avrebbe senso, il problema è sicuramente nelle impostazioni della libreria di Leopard, probabilmente causato dall’aggiornamento da Tiger a Leo. Ma non puoi fare un clean install? In ogni caso puoi verificare se i problemi della libreria sono localizzati a livello utente o a livello di sistema. Crea un nuovo utente e prova ad usare quello, se ti crashano i programmi il problema è del sistema e la cosa + veloce da fare è rinstallare tutto.
La funzione elimina casella di Mail forse è buggata :D capita… io non ho il coraggio di vedere se da me funziona xkè se funziona cancello la posta e nn è il caso hihi.
Per quanto riguarda lo script UNIX eseguibile da Mail effettivamente Apple potrebbe risolvere il problema alla radice imponendo l’autorizzazione x eseguire scrip UNIX di qualsi tipo se avviati dall’intervento dell’utente, cadrebbero tutti i problemi relativi a script mascherati da altri tipi di files
Mik
23 nov 2007 - 15:29 - #29DHO! appena detto e leggo il commento prima del mio….
fix-1
23 nov 2007 - 15:52 - #30@al404
Ho letto che c’è un sacco di gente che è scontenta di leopard perchè ha troppi alert e chiede spesso conferme in stile windows…
Quindi se os x ti fa troppe domande sembra windows, se non te le fa non è abbastanza sicuro..
Io proporrei che gli allegati non zippati vengano eliminati automaticamente da mail. In questo modo si risparmia banda e problemi di exploit!
L’alternativa sarebbe farsi una vita…
itmandar
23 nov 2007 - 22:31 - #31Ho provato, mi sono fatto mandare una email da secunia con l’exploit. ecco come funziona:
1) Ricevi l’email
2) L’email ti chiede di cliccare sulla (finta) jpeg, che in situazioni normali dovrebbe essere visualizzata all’interno della finestra
3) Qualsiasi script non può comunque cancellare direttamente file critici, in quanto chiederebbe nel prompt del terminal la password, e qui non ci casca neanche un imbecille cetrificato iso 9002.
-
Detto questo:
Ma porca trota, un file eseguibile con estensione .jpg è per forza una truffa, quindi apple risolverebbe in parte il problema negando l’esecuzione di script o programmmi con estensione sbagliata. Non capisco cosa aspetti apple ad adottare un provvedimento del genere, di così semplice implementazione.
Comunque, questo è di nuovo social engineering.
destroyer85
24 nov 2007 - 01:03 - #32La cosa buffa è che questo exploit si era già verificato ed era stato parzialmente corretto in mac os 10.4
deus
24 nov 2007 - 02:35 - #33@harduru
l’ho scaricato da poco ma devo ancora vederlo. so che è un palla e stavo per cancellarlo ma ora che mi dai questa notizia, lo guarderò (magari in doppia velocità)
@MacDeluso
quando vado dalle tipe il mio scopo è “inserire”, non “rimuovere”.
harduru
24 nov 2007 - 17:22 - #34Credo proprio che quel film sia stato prodotto dalla Apple o solo finanziato…o solo sponsorizzato….
iVolitans
25 nov 2007 - 10:09 - #35@MacDeluso
Prima di tutto… non parlare con deus, ok? Non dargli corda, non farci caso…! Ricordi il film “il silenzio degli innocenti” o “hannibal” o “red dragon”, o….. tutti gli evvertimenti che danno a chi gli vuole parlare? Ecco… tu dimentica tutto, e non parlarci del tutto con deus!
Riguardo al problema che hai con leopard, è veramente strano… ma hai provato a portare indietro il tuo MacBook al negozio dove l’hai comprato e mostrare il problema?
Bye bye e buona fortuna =)…
Stefanisco
21 mar 2008 - 14:11 - #36boh..
Non esiste un Os invulnerabile, sicuramente pero’ esistono Os meno vulnerabili di altri. In futuro spero che usciranno altri Os, chissa forse Linux sara’ abbastanza maturo. Per adesso su MacOs mi trovo davvero molto bene.. un antivirus.. ma si perche no? Che problema c’è? L’importante che le miei abitudini non vengano modificate in modo sensibile..