Occhio all’installer

Pubblicato il: 17/09/2006 — Tematiche: Apple,informatica,networking culturale,segnalazioni,sicurezza

This text is also avaliable in english

In Mac OS X un installer software con estensione .pkg, lanciato da un utente Admin può andare a toccare file del sistema che appartengono all’utente root senza che venga chiesta alcuna password.
E’ quanto afferma un articolo in inglese su Macgeekery intitolato “How a Malformed Installer Package Can Crack Mac OS X”.

Il problema viene dall’uso della chiave AdminAuthorization nell’installer e si tratterebbe di una questione nota almeno dal luglio del 2006, fatta presente sul forum ufficiale Apple e ammessa da Cupertino ma tutt’ora irrisolta.
Nell’articolo su Macgeekery si cita l’uso della tecnica da parte dell’installazione del software di virtualizzazione Parallels e si spiega -con esempi- come nelle mani sbagliate potrebbe essere sfruttata per paciugare in configurazioni di sistema (/etc/sudoers ad esempio) o altri file riservati senza alcuna password.

Dalle mie segnalazioni su Slashdot e sul newsgroup it.comp.macintosh arrivano purtroppo alcune conferme e dettagli.

Una di queste è che effettivamente quando si installa Parallels non chiede alcuna password pur andando ad aggiungere estensioni del kernel e ripulirne la cache, operazioni che normalmente da Terminale (shell) devono essere preposte da un sudo.
Esiste quindi un problema di escalation di privilegi.

Soluzioni? Per ora su Slashdot viene suggerito di usare account normali e non di tipo Admin in modo che nelle installazioni quantomeno venga chiesta sempre la password, lo stesso consiglio dato qualche mese fa su it.comp.macintosh per un’altra potenziale vulnerabilità.

Aggiornamento:
Molto interessante il commento di fed3rico alla mia segnalazione su Tevac, in cui illustra tutta la gravità del problema e spiega anche di altri guai potenziali dell’abuso della chiave AdminAuthorization nell’Installer.

« Materiale più recente