RSS-Sicherheitslücke in Mac OS X entdeckt

[MacMark]

Möglicherweise ist irgendein Zeichen, das nicht auskommentiert wurde, vor dieser Stelle.

Ich lade mal meine Original safari.sb hoch und verlinke sie.

http://www.macmark.de/files/Safari.command
http://www.macmark.de/files/safari.sb

Beschreibung mit Links auf diese Dateien ergänzt:
http://www.macmark.de/blog/osx_blog_2008-09.php#safari_sandboxed

 

[::arglbarf::]

Jau, danke erstmal.

Das werde ich nachher mal zu Hause ausprobieren und berichten, ob es geklappt hat.

::a::

 

[SelonScience]

Wurde die Lücke inzwischen gefixt, oder ist ein Zeitpunkt bekannt?

 

[::arglbarf::]

@ MacMark:

Ich kann meinen Fehler zwar nicht finden, aber mit deinen Dateien löppt es.

Kannst du mir eventuell ein paar Quellen nennen, wo man sich als interessierter weiter informieren kann (So richtig verstanden habe ich es noch nicht, was in safari.sb genau definiert wird)

::a::

 

[MacMark]

Zur Zeit sind das meines Wissens noch nicht offiziell dokumentierte Funktionen. Du kannst Dir die Sandkästen ansehen, die Apple in OS X verwendet und im Code kommentiert hat:

KeyWest:~ macmark$ ls /usr/share/sandbox
bsd.sb                       quicklookd.sb
krb5kdc.sb                   syslogd.sb
mDNSResponder.sb             update.sb
mdworker.sb                  xgridagentd.sb
named.sb                     xgridagentd_task_nobody.sb
ntpd.sb                      xgridagentd_task_somebody.sb
portmap.sb                   xgridcontrollerd.sb

So habe ich das gemacht und dann auch ausprobiert. Was ich rausgefunden habe, steht als Kommentar in meiner safari.sb.

Es gibt nur ganz wenige Seiten im Web, die sich damit beschäftigen. Eine richtig gute hatte ich vor einem halben Jahr nicht gefunden. Vielleicht gibt es inzwischen mehr.

Eventuell findet sich auch etwas im Quellcode von Darwin, der frei verfügbar ist.

Ich nehme an, daß mit Schnee-Leopard da mehr offiziell dokumentiert wird, weil Sandboxes als Sicherheits-Technik im Fokus der Entwicklung von 10.6 seien müßten.

 

[::arglbarf::]

Ok. Danke nochmal.

::a::

 

[MacMark]

Wenn man alle kontrollierbaren Aktionen sehen möchte, dann sollte man

(debug all)

in der Sandbox-Definition nutzen. Dann sieht man auch die momentan erlaubten. Mit

(debug deny)

, wie ich es momentan drin habe, sieht man nur die verhinderten.

 

[SelonScience]

February 12, 2009

Gefixt, mit Security Update 2009-001:

"Safari RSS

CVE-ID: CVE-2009-0137

Available for: Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.6, Mac OS X Server v10.5.6

Impact: Accessing a maliciously crafted feed: URL may lead to arbitrary code execution

Description: Multiple input validation issues exist in Safari's handling of feed: URLs. The issues allow execution of arbitrary JavaScript in the local security zone. This update addresses the issues through improved handling of embedded JavaScript within feed: URLs. Credit to Clint Ruoho of Laconic Security, Billy Rios of Microsoft, and Brian Mastenbrook for reporting these issues."


Der Vollständigkeits wegen.


P.S.: schwach von apple!
Der Entdecker der Safari-Lücke Brian Mastenbrook hat in seinem Blog darauf hingewiesen, dass er die Lücke bereits Mitte Juli 2008 an Apple gemeldet hat. Erst nachdem sich ein halbes Jahr nichts tat, veröffentlichte er erste Informationen über das Problem. Mastenbrook beschreibt zudem einige weitere, bereits länger zurückliegende Lücken in Safari und beklagt sich über die langen Reaktionszeiten des Herstellers.


http://brian.mastenbrook.net/display/28

 

[SelonScience]

6 monate für so ein Loch ;/
Safari wird schliesslich täglich verwendet.

 

[Jazz_Rabbit]

Deswegen ist es so wichtig, das Fehler oder Lücken auch veröffentlicht werden.
Insbesondere bei Closed Souce.