Fotografický magazín "iZIN IDIF" každý týden ve Vašem e-mailu.
Co nového ve světě fotografie!
Zadejte Vaši e-mailovou adresu:
Kamarád fotí rád?
Přihlas ho k odběru fotomagazínu!
Zadejte e-mailovou adresu kamaráda:
Zprávy o Applu
Apple opravil bezpečnostní chybu ... stačí to?
24. května 2004, 00.00 | V pátek jsme vás informovali o bezpečnostní chybě v Mac OS X. Apple naštěstí rychle vydal záplatu, ale na internetu se objevují další zprávy o možných bezpečnostních dírách. Tentokrát je problém na straně služby LaunchServices.
V pátek jsme vás informovali o bezpečnostní chybě v Mac OS X. Apple naštěstí rychle vydal záplatu, ale na internetu se objevují další zprávy o možných bezpečnostních dírách. Tentokrát je problém na straně služby LaunchServices.Společnost Unsanity upozornila, že k napadení počítače může dojít i jiným způsobem, než pomocí aplikace Help Viewer. Existuje totiž další možnost, která opět využívá připojení obrazu disku a chyby v carbon programu (modulu) LaunchServices. Ta přiřazuje URI identifikátor ke konkrétní aplikaci. Měla by ho ale přiřadit, až když se uživatel rozhodne program používat, nikoliv dříve.
Postup, jak takový útok může vypadat, je převzat ze stránek společnosti Unsanity. Ta na tento problém poukázala a připravila program Paranoid Android, který před podobnými útoky chrání. Následující odkaz vás přesměruje na stránku, kde je tato chyba prezentována na konkrétním případě webové stránky. Upozorňuji, že se jedná pouze o ukázku, nikoliv o nebezpečný kód!
http://www.geekspiff.com/unlinkedCrap/innocousPage.html
Co se vlastně děje?
• Dojde k připojení disku “MalwareDiskImage” na vašem počítači - ten obsahuje aplikaci OSXMalware (na webu Unsanity je ještě varianta s připojením na ftp server)
• Tento program má v souboru info.plist přiřazen URI identifikátor 'malware'. Najdete jej, pokud si necháte zobrazit obsah balíčku aplikace - vyberte "Show Package Content" z kontextové nabídky při kliknutí na program.
• LaunchServices automaticky použijí informace ze souboru info.plist a zaregistrují protokol 'malware' k aplikaci OSXMalware (!)
• Dojde k obnovení (refresh) stránky - ta ve zdrojovém kódu obsahuje 'malware:unused'
• Vzhledem k faktu, že došlo k přiřazení URI ovladače 'malware' k aplikaci OSXMalware, dojde k jejímu spuštění
• OSXMalware vytvoří ve vaší domovské složce soubor owned.txt. Program vytvořený hackerem by asi tak milosrdný nebyl a rozhodně by se neomezil jen na vytvoření textového dokumentu.
Zkoušel jsem tento postup ze tří počítačů a ve všech případech došlo ke spuštění aplikace, ale musel jsem sám nechat obnovit obsah stránky. To v každém případě nemění nic na faktu, že LaunchServices zaregistrují informace v souboru info.plist obsaženém v programu, i když je aplikace na připojeném disku a nedošlo k její aktivaci. A to určitě není v pořádku - k tomu by mělo dojít, až po spuštění uživatelem či manuálním překopírování uživatelem/administrátorem na vlastní disk.
Celý postup lze prezentovat i na konkrétnějším a jednodušším příkladu:
připojte obraz disku: disk://www.geekspiff.com/unlinkedCrap/osxMalware.dmg
zadejte do prohlížeče: malware:unused
a vyčkejte pár vteřin...
Ochrana
V tuto chvíli je funkční ochranou aplikace Paranoid Android 1.1 od společnosti Unsanity - neřeší tento problém, ale upozorní vás, pokud dojde k použití 'nepovelných' URI identifikátorů. Paranoid Android povolí pouze 'http', 'https', 'ftp', 'mailto', 'itms', 'addressbook', 'rtsp', 'pnm', 'ical', 'webcal', 'sherlock', 'guikit' a 'file'. Jestliže dojde k použití jiného protokolu, vyskočí okno a vy musíte tuto akci autorizovat. Není to přímé řešení problému, ale jako ochrana do vydání nového Security Updatu se dá určitě použít.