Finanso.de

Shell-Scripte: Automatisches ausführen in Safari ausschalten

In Safari, dem Web-Browser von Apple gibt es unter Safari - Einstellungen - Allgemein die Option “Sichere Dateien nach dem Laden öffnen”. Dabei werden Filme, Bilder, Musikdateien, PDFs, Text-Dokumente, Image-Dateien und andere Archive (siehe Bild) als sichere Dateien angenommen.

Die Aktivierung dieser Option - die Standardmässig bei Auslieferung und Neuinstallation des Apple-Betriebssytems Mac OS X aktiviert ist - hat zur Folge, dass eben diese Dateien - wie MP3s und Bilder - nach dem Download automatisch gestartet werden, das heist im entsprechendem Programm wie iTunes oder iPhoto geöffnet werden.

Bei anderen Dateien wie ausführbaren und installierbaren Programmen fragt der Download-Manager von Safari vor dem Öffnen der Datei den Benutzer, ob er dies auch tun möchte.

Es allerdings möglich ausführbaren Programmcode - wie Shell-Scripte - als für Safari sichere Dateien zu tarnen.

Es fehlt eine Überprüfung von Seiten des Betriebssystems, ob die Datei mit der jeweiligen Dateiendung auch wirklich mit dem dazugehörigem Programm geöffnet wird, oder sich nur als eine solche ausgibt.

Heise-Online: “Problematisch wird es jedoch, wenn man ein Shell-Skript ohne die so genannte Shebang-Zeile in ein Zip-Archiv verpackt. Wie Michael Lehn herausgefunden und auf einer Web-Seite demonstriert hat, erkennt Safari dann nicht mehr, dass es sich um potenziell gefährliche Inhalte handelt und führt die Kommandos ohne Nachfrage aus.”

Diese Sicherheitslücke lässt sich vorerst einfach mit der Deaktivierung der Option “Sichere Dateien nach dem Laden öffnen” umgehen (siehe Bild).
Heise-Online stellt auch einen Sicherheitscheck in Form einer Demo bereit (Shell-Script in einer gezipten .jpeg-Bilddatei). Diese zeigt sehr schön die grundlegenden Möglichkeiten, überprüft aber letztendlich auch nur, ob die Option in den allgemeinen Einstellungen von Safari aktiviert oder deaktiviert ist.

Abgelegt unter: Gesichert 21. February 2006 1:36