1 Tema creado por sao

  • sao
  • sao
  • Macaco
  • No conectado
  • Desde: Montevideo
  • Registrado: 12.05.2004
  • Mensajes: 444

Tema: Respecto al "Security Update 2004-05-24" de Apple.

.
El "Security Update 2004-05-24" de Apple no tiene ningún efecto en las vulnerabilidades encontradas en los protocolos: 'disk:’, ‘disks:’, o ‘telnet:’ . El patch, sólo corrije la vulnerabilidad con "Help viewer". Es un problem muy grande que no tiene una solución fácil. Porque se mezclan funciones de legítimo uso con las de origen maligno. Apple va a tener problemas para poder solucionar esto sin sacar algunas funciones útiles del sistema operativo.

-Respecto a la vulnerabilidad del protocolo 'telnet://' :

El problema es que MacOS X trata a todo lo que viene después de los slashes en los URIs 'telnet://'como un argumento del comando 'telnet' en shell. Incluyendo también el uso de las opciones del comando telnet. Por ejemplo, la opción '-n' de telnet se puede usar para especificar un archivo de texto en donde se escribirá un log de la sesión de telnet. Por ejemplo, el siguiente URI:

telnet://-nFoo

escribirá o sobreescribirá un archivo llamado 'foo' en el directorio 'home'. El hecho de que sobreescribirá un archivo existente del mismo nombre en cualquier archivo en donde tengas privilegios de escribir (practicamente en todo el directorio home) es un problema muy serio.

Se debe considerar tambíen que para escribir un archivo llamado 'foo' en el directorio /tmp en tu disco disco de arranque, sólo basta utilizar el URI:

telnet://-n%2Ftmp%2Ffoo

Y para sobreescribir el archivo de preferencias del Finder, se puede usar:

telnet://-nlibrary%2Fpreferences%2Fcom.Apple.finder.plist



-Los protocolos ‘disk:’ and ‘disks:’ estan designados por default a DiskImageMounter, y permiten que las imágines de disco sean montadas automaticamente en el sistema de archivos. Lo único que debe hacer el usuario es surfear a una página web maligna (con una portada completamente normal) y ser dirijido a un URL con un esquema de 'disk', 'ftp', or 'afp' que montará automaticamente al ejecutable maligno en la computadora. Otra manera sería a traverso de un link en una página web que diga simplemente "Haga click aquí".

Una vez que el ejecutable maligno está presente en la computadora, hay varias maneras de hacerlo funcionar...Este problema es muy serio, pero no debemos entrar en pánico, ya que ningún sitio-web decente nos atacará de inmediato. Pero seguro que hay que tener cuidado con surfear a sitios desconocidos que no sepamos de confianza.

Después de leer bastante información al respecto, lo mejor sería instalar a "RCDefaultApp" (gratis) para anular al menos, los protocolos telnet, disk y disks y además instalar a "Paranoid Android" (gratis) que parece ser la "única barrera eficaz al momento" contra estas vulnerabilidades.

http://www.unsanity.com/haxies/para/
http://www.rubicode.com/Software/RCDefaultApp/

Para más información leer (en inglés):
http://www.unsanity.com/haxies/para/whitepaper/
http://www.unsanity.org/archives/000339.php
http://www.euronet.nl/~tekelenb/playground/security/URLschemes/
http://forums.macosxhints.com/showthread.php?t=24000
http://ozwix.dk/OpnAppFixer/testit.html
.

2 Respuesta por sao

  • sao
  • sao
  • Macaco
  • No conectado
  • Desde: Montevideo
  • Registrado: 12.05.2004
  • Mensajes: 444

Re: Respecto al "Security Update 2004-05-24" de Apple.

.
La firma Secunia publicó un "nuevo" aviso de vulnerabilidad calificada de "extremely critical" (muy crítica) donde exponen la vulnerabilidad con los protocolos disk:’ y ‘disks:’ explicada en mi mensaje anterior.

http://secunia.com/advisories/11689/
.

3 Respuesta por sao

  • sao
  • sao
  • Macaco
  • No conectado
  • Desde: Montevideo
  • Registrado: 12.05.2004
  • Mensajes: 444

Re: Respecto al "Security Update 2004-05-24" de Apple.

.
Aún después de instalar el "Security Update de Apple", por el momento yo he hecho lo siguiente:

1- Desactivé de las preferencias de Safari la opción de "abrir archivos seguros". (esto sólo provoca el inconveniente que uno deba clickear doble para abrir los archivos bajados de internet)

2- Usé la aplicacion RCDefaultApp para anular (disable) los URLs del protocolo telnet y disk.

Esto soluciona el problema si el ejecutable maligno viene en una imágen de disco, pero si usa 'ftp' o 'afp' o 'smb', el problema sigue existiendo, a menos que se anulen también todos estos protocolos. Pero la consecuencia de anular todos estos, para mí sería como estar usando la mitad de la capabilidad de Internet de mi computadora. 

3- Esto fué lo que me convenció a instalar "Paranoid Android" como solución.

Quiero aclarar que cada usuario tiene que pensar y elegir cuál es la solución más adecuada para su sistema. Yo por ahora no surfeo a lugares en Internet que no me inspiren confianza o vengan recomendados por algún amigo.
.

4 Respuesta por sao

  • sao
  • sao
  • Macaco
  • No conectado
  • Desde: Montevideo
  • Registrado: 12.05.2004
  • Mensajes: 444

Re: Respecto al "Security Update 2004-05-24" de Apple.

.
Finalmente llegue a la siguiente conclusión:

1- Desactivar en las preferencias de Safari la opción de "abrir archivos seguros".

2- Si uno 'no' instala "Paranoid Android", entonces al menos se deberían desactivar (disable) los siguientes protocolos con "RCDefaultApp":

disk:
disks:
afp:
ftp:
telnet:

Notas:
Mientras que uno dirija el protocolo ftp: a otro programa como Fetch, Interarchy, etc. no habría necesidad de desactivar este protocolo con "RCDefaultApp". Es importante entender que uno está a salvo de la vulnerabilidad con este protocolo "solamente" cuando el ftp: no apunte directamente al Finder.

La última actualización de la Terminal para "Jaguar" soluciona la vulnerabilidad con ‘telnet:’ . Pero Apple aún no ha solucionado esta vulnerabilidad en "Panther".


3- Para mayor tranquilidad, dire que ni "Paranoid Android" (a pesar de ser un haxie) ni "RCDefaultApp" introducen parches en el sistema y pueden ser desinstalados fácilmente una vez que Apple haya solucionado este problema.
.

5 Respuesta por sao

  • sao
  • sao
  • Macaco
  • No conectado
  • Desde: Montevideo
  • Registrado: 12.05.2004
  • Mensajes: 444

Re: Respecto al "Security Update 2004-05-24" de Apple.

.
Los cambios realizados al desactivar los protocolos con "RCDefaultApp" solo tienen efecto en la cuenta del usuario que realizó la operación. Es decir que "RCDefaultApp" solo cambia las preferencias a nível de usuario, no a nivel de sistema. Si uno utiliza multiusuarios deberá repetir el mismo procedimiento con "RCDefaultApp" para cada usuario.  Esto sería un trabajo enorme en un laboratorio de computadoras, donde generalmente hay una gran cantidad de usuarios. En este caso, la única solución es instalar "Paranoid Android", que puede ser instalado para todos los usuarios del sistema.

Acabo de instalar la actualización a MacOS X 10.3.4 y 'por el momento' -Paranoid Android v1.2- sigue funcionando bien. No creo que Apple haya tenido el tiempo suficiente para resolver algunas de las vulnerabilidades en la actualización a MacOS X 10.3.4, el problema en el sistema operativo es bastante complejo ya que probablemente deberán alterar "LaunchServices".

Las vulnerabilidades con 'telnet:' y con 'ssh:' han sido resueltas con la actualización a MacOS X 10.3.4, pero no las otras. El "Security Update 2004-05-24 for Panther" no se encuentra incluido en la actualización a MacOSX 10.3.4. Si no lo han instalado antes, lo deberán instalar despues de la actualización a 10.3.4 para resolver la vulnerabilidad con la aplicación "Help Viewer".
.