Grave vulnerabilidad en Mac OS X, Safari, manipulación de archivos .ZIP

panic.gifRecientemente, Michael Lehn ha detectado una grave vulnerabilidad en Mac OS X, que posibilita que un usuario malicioso comprometa un sistema remota o localmente.

La vulnerabilidad se debe a un error en el proceso de metadatos en archivos ZIP (localizados en el directorio «__MACOSX»). Este hecho puede ser explotado para que los usuarios ejecuten un script malicoso renombrado a una extensión de archivo segura y almacenado en un archivo ZIP).

La solución que os planteo debajo lo que impide es la posibilidad de recibir un ataque vía Safari y la ejecución automática de archivos una vez descargados pero no soluciona el problema a la hora de manipular localmente un archivo .zip conteniendo código malicioso.

Además, la visita a páginas web maliciosas que exploten el bug a través de Safari puede implicar la ejecución automática del script deseado. (personalmente esto es lo que más me preocupa de cara a muchos usuarios pero también que piensen que solo con lo del Safari se soluciona)

Secunia ha diseñado un test que puede utilizarse para ver si el bug afecta a nuestro sistema:

http://secunia.com/mac_os_x_command_execution_vulnerability_test/

La presencia del bug se ha confirmado en sistema perfectamente actualizados con Safari 2.0.3 (417.8) y Mac OS X 10.4.5.

Solución:

Temporalmente se puede eludir el bug inhabilitado la opción «Abrir archivos seguros al descargarlos» en Safari.

safari3.jpg

Es obvio que tampoco deben aceptarse archivos ZIP que provengan de fuentes en las que no confiemos plenamente. De momento no hay otra solución a este Bug y personalmente os recomiendo extremar las precauciones con este tipo de archivos y usar otro navegador como Mozilla Firefox hasta que se aclare todo.

Información adicional en Secunia (fuente)

Más información del FrSIRT

La vulnerabilidad la he catalogado como «grave» pero Secunia la califica como «extremadamente crítica» y el FrSIRT como grave.

He abierto también un hilo sobre el tema en nuestro foro de Mac en Daboweb

Saludos, Dabo

Aclarar de nuevo que esta actuación sobre Safari solo corrige la ejecución de código automáticamente vía web, no localmente ya que de momento no hay solución

Información actualizada a día 23-1-06, un usuario crea una aplicación para paliar los efectos del Bug, Safe Terminal, es válida para el caso de que aún habiendo desactivado la opción en Safari de apertura automática, el archivo malicioso de descargue, lo abráis localmente y se ejecute el script, toda la información aqui en faq-mac.


Nota; Os he ido ampliando la información en los comentarios de abajo.

dabo

Work: @apache_ctl | Edu: Hacker (and free) Culture & @debianhackers, @daboweb | Life: @verticalplaneta | ¿Hacktivista? (legítima defensa) GPG Key 0xBC695F37

dabo escribió 1255 entradas

Navegación de la entrada


Comentarios

  • Pingback:

    meneame.net
  • Pingback:

    meneame.net
  • dabo

    Vaya con el menéame -:), gracias a los dos, (aunque casi os hayáis pisado :D, acabo de ver las horas de publicación), por cierto Liamngls, a ver si te cambio los links a tu blog que veo que los has cambiado.

    Pues al hilo del comentario del amigo Cocoa en el encabezado de la noticia fallida en meneame decir que si, llevamos una semana muy complicada y estas cosas merman un poco la confianza de la gente pero ya lo dije en otro hilo a colación del gusano de la semana pasada

    https://www.daboblog.com/2006/02/17/virus-osxleap-infecta-a-mac-os-x-tiger/

    Los usuarios de Mac más «clasicos» confían demasiado en su sistema, ya dije que quizás no virus pero rootkits, puertas traseras y explotación de ciertos servicios suceden todos los días y el tema es que eso no se sabe y no se publica porque por mucho Mac que sea al final hay un núcleo Unix y un puerto, un servicio, un protocolo, una conexión entrante y saliente…no está limitado o es exclusiva de una plataforma en concreto.

    Yo soy un usuario de OS X desde hace casi 2 años pero uso a diario Ubuntu, quizás la gente que venimos del mundo GNU/Linux estamos un poco más concienciados con estos temas.

    Supongo que pronto habrá una solución por parte de Apple a este tema pero yo…no confío la seguridad de mi equipo a una compañía sea cual sea y se llame como se llame.

    Iptables rules -:)

    Saludos

  • dabo

    Hola, me están llegando bastantes correos, comentaros que podéis dejar la información aquí y las respuestas valdrán para más gente -:)

    Como he dicho arriba en la noticia, lo de Safari es una manera de prevenir algo muy muy duro que no es otra cosa que un ataque «automatico» para que se entienda cuando se visita una página web especialmente manipulada y Safari se tiene activado con esa aberración de apertura automática.

    El otro problema de un archivo ZIP manipulado para explotar esta vulnerabilidad, es otra historia, ahora si que os recomiendo más que nunca que os organicéis, hay que adquir hábitos de control que hasta ahora muchos no estabáis llevando a cabo, las descargas controladas en un solo sitio, antes de ejecutar o abrir un archivo que no sea de toda vuestra confianza revisarlo bien a fondo y no ejecutéis nada que no sea de vuestra absoluta confianza.

    No usar la cuenta de admin, autenficaros con la de usuario cuando el sistema os lo pida, más que nunca estar preparados para un posible desastre en forma de pérdida de información, los backups que antes igual los hacíais de forma muy esporádica, ahora tienen que ser un hábito y no verlo como una pérdida de tiempo sino al revés.

    Este es un Bug realmente grave, no hay alarmismo extra y el sistema operativo, por mucho núcleo Unix que lleve dentro, ahora mismo está expuesto.

    Por último y para paliar una parte del problema, aparcar vuestro Safari hasta que todo se aclare, (yo no lo uso pero lo aparcaría aún quitando esa opción) instalar un Firefox y esperar a que Apple lo solucione rápido por la cuenta que les trae.

    No creo que sea fácil la verdad pero…cuando quieren bien que sacan pecho, a ver ahora si están a la altura y no caen en errores de su vecino Microsoft….

  • Liamngls

    Es bueno saber que las cosas importantes van a ser meneadas , así uno hasta se puede despistar un poco … ;-)

  • dabo

    En breve os hablo del exploit

  • dabo

    Hola, el exploit ya está por todos los lados y la verdad es que el código es largo pero sencillo a la vez

    Su descripción;

    ‘Description’ =>
    Pex::Text::Freeform(qq{
    This module exploits a vulnerability in Safari’s «Safe file» feature, which will
    automatically open any file with one of the allowed extensions. This can be abused
    by supplying a zip file, containing a shell script, with a metafile indicating
    that the file should be opened by Terminal.app. This module depends on
    the ‘zip’ command-line utility.
    })

    Decía por ahí que viéndolo con calma te das cuenta de la gran cagada de Apple, el agujero es de proporciones considerables, de todos modos al menos creo que en cuanto a poder explotar la vulnerabilidad remotamente vía Safari no le pillará a tanta gente.

    La manera de evitar el exploit hablando de Safari es desactivando esa opción pero para evitar el agujero con un .ZIP debidamente manipulado que abramos locálmente todavía no hay nada.

    Me imagino que de aquí al lunes Apple dará la respuesta a modo de actualización porque sus usuarios están perdiendo la tradicional confianza en su S.O

  • dabo

    Hablando de todo un poco y viendo el código de nuevo, no me parece muy difícil el que se pueda lanzar el ataque sobre o a través de otra aplicación. Me decía un colega mío de estos que llevan toda la vida usando Mac que lo de esta semana no lo hubiera creido ni en sueños.

    Yo le dije en plan colega que se despierte del sueño que le veía un poco dormido -:)

  • Losek

    Aunque no va aqui y no tiene relación con esto, muchisimas gracias por el Comentario dabo, me ha encantado que «una eminencia» como tu se haya pasado por alli :)
    Nos leemos

  • dabo

    Solo faltaba Losek, claro que me paso por ahí -:) y de eminencia nada brother que no me queda que aprender ni nada…

    Más info, la he puesto arriba también;

    Un usuario crea una aplicación para paliar los efectos del Bug, Safe Terminal, es válida para el caso de que aún habiendo desactivado la opción en Safari de apertura automática, el archivo malicioso de descargue, lo abráis localmente y se ejecute el script, toda la información aqui debajo;

    http://www.faq-mac.com/mt/archives/016106.php

    Saludos !

Comentarios cerrados.