Occhio all’installer
This text is also avaliable in english
In Mac OS X un installer software con estensione .pkg, lanciato da un utente Admin può andare a toccare file del sistema che appartengono all’utente root senza che venga chiesta alcuna password.
E’ quanto afferma un articolo in inglese su Macgeekery intitolato “How a Malformed Installer Package Can Crack Mac OS X”.
Il problema viene dall’uso della chiave AdminAuthorization nell’installer e si tratterebbe di una questione nota almeno dal luglio del 2006, fatta presente sul forum ufficiale Apple e ammessa da Cupertino ma tutt’ora irrisolta.
Nell’articolo su Macgeekery si cita l’uso della tecnica da parte dell’installazione del software di virtualizzazione Parallels e si spiega -con esempi- come nelle mani sbagliate potrebbe essere sfruttata per paciugare in configurazioni di sistema (/etc/sudoers
ad esempio) o altri file riservati senza alcuna password.
Dalle mie segnalazioni su Slashdot e sul newsgroup it.comp.macintosh arrivano purtroppo alcune conferme e dettagli.
Una di queste è che effettivamente quando si installa Parallels non chiede alcuna password pur andando ad aggiungere estensioni del kernel e ripulirne la cache, operazioni che normalmente da Terminale (shell) devono essere preposte da un sudo
.
Esiste quindi un problema di escalation di privilegi.
Soluzioni? Per ora su Slashdot viene suggerito di usare account normali e non di tipo Admin in modo che nelle installazioni quantomeno venga chiesta sempre la password, lo stesso consiglio dato qualche mese fa su it.comp.macintosh per un’altra potenziale vulnerabilità.
Aggiornamento:
Molto interessante il commento di fed3rico alla mia segnalazione su Tevac, in cui illustra tutta la gravità del problema e spiega anche di altri guai potenziali dell’abuso della chiave AdminAuthorization nell’Installer.