Keskiviikko 22.2.2006Aukko Mac OS X:ssä vaikuttaa myös Applen Mailiin [09:36] (Muokattu 22.2.2006 10.56)Aiemmin Safarissa havaittu aukko on osoittautunut laajemmaksi [heise.de]. Applen Mail-ohjelma suorittaa ohjelman kaksoisklikattaessa sähköpostiviestissä olevaa liitettä. Heise Onlinen uutisen mukaan vanhemmat Apple Mail -versiot varoittavat ohjelmasta, mutta Mac OS X 10.4:ssä Apple Mail 2 ei varoita. Apple on julkaissut aiheesta ohjeen [docs.info.apple.com]. Ohjetta ei ole saatavilla suomenkielisenä, mutta tässä tärkein sisältö: Apple suosittelee, että verkosta haettuja tai sähköpostin mukana tulleita tuntemattomia tiedostoja ei kaksoisklikata. Yhdellä klikkauksella valitun tiedoston tyypin voi tarkistaa Finderin Arkisto-valikon komennolla ”Näytä tietoja”. Seuraavat tiedostomuodot voivat sisältää haittaohjelman:
Näitä tiedostoja ei pidä kaksoisklikata selvittämättä ohjelman alkuperää ja tarkoitusta. Sähköpostin osalta kannattaa aina kysyä lähettäjältä, ja verkkosivuilta haetuista tiedostoistoista sivuston ylläpitäjältä tai muilta käyttäjiltä esimerkiksi keskustelualueilta. Suosittuja suomenkielisiä keskustelualueita on muun muassa AppleGarden ja Omenamehu.org. Uusista ohjelmista varoittava Mac OS X:n ominaisuus tuli käyttöön turvallisuuspäivityksen 2004-06-07 [docs.info.apple.com] myötä. Täten Mac OS X versiota 10.3.4 aiemmat eivät varoita uusista ohjelmatiedostoista, ja ilmeisesti Mac OS X 10.4:ssä tarkistuksessa on puutteita. CNET:n mukaan [news.com.com] turvallisuuspäivitys on Applella työn alla, mutta aikataulusta ei ole vielä tietoa. Nyt sitten......vain odotellaan uutta turvallisuuspäivitystä... ...taisi tulla Applen pojille (ja tytöille) ylitöitä tämän takia... Applen ohje palturiaUutisessa viitattu Applen ohje on sikäli yhtä tyhjän kanssa, että se auta yhtään mitään ainakaan Safarin tapauksessa. Ainoa tapa estää Safarin aukon hyödyntäminen on ottaa asetuksista ruksi pois kohdasta 'Avaa "turvalliset" tiedostot haun jälkeen'. Mikäli tuo asetus on päällä Safari iloisesti lataa tiedoston ja suorittaa siinä olevan Shell-skriptin ilman, että käyttäjä pääsee mitenkään väliin. Asiaa voi jokainen kokeilla, mutta omalla vastuullaan: Toinen paikkovaihtoehto löytyy Unsanityltä. Linkin takaa löytyy pitkä, mutta tekninen selitys ongelmaan, ja sivun loppupuolelta voi ladata lisukkeen, jolla aukon hyödyntämisen voi estää. Tosin tuon lisukkeen käyttö vaatii Unsanityn Application Enhancerin asentamisen. PS. Ilmeisesti Applen Mail ei automaattisesti suorita mitään liitteistä, joten siinä tuplaklikkauksen varominen auttaa. Se linkkiJK. Unsanity-linkki näyttää unohtuneen: http://www.unsanity.org/archives/000449.php Kannattaa katsoa, miltä vuodelta tuo ohje on...Katsoin jo uutista kirjoittaessani, että tuo ohje on todellakin vanha (Created: May 27, 2004 , Modified: June 08, 2004). Se kuitenkin pätee tähän Finder/Mail-juttuun. Safarin osalta taas olemme kirjoittaneet suomenkielisen ohjeen uutiseen, johon on linkki tästä uutisesta. Halutessasi voit lähettää palautetta tai ilmoittaa asiattomasta kommentista suoraan Macsanomien toimitukselle. Tutustu myös fiMUG ry:n ylläpitämän Hopeisen Omenan keskustelualueisiin ja wikiin. |
|
