[harden-mac:0112] Re: Security Update 2002-09-20

[FUJII Taiyo <taiyo@xxxxxxxxxxx>]

メーラーにGPGプラグインが入っている場合に、読めなくなってしまうことがあった
ため、再投稿します。
サイン後で文字列が変更してしまうことを考えていませんでした。
申し訳ありません。

> 何れにせよ、Mac OS Xと同Serverのv10.2以降のユーザは、即時に
> アップデータを適用した方が良さそうです。

非常に危険なセキュリティホールへの修正パッチとなっています。
即座にアップデータを適用する必要があると感じます。

実は、昨夜この脆弱性を全くの偶然から発見していました（前々から臭いな～とは思っ
ていたんで何かあるかとは思っていましたが）。ベンダーへの連絡などはこれから準
備しようとしていたところです。
以下に、整理した内容を投稿します。

概要
Mac OS X 10.2/10.2.1では、URLをクリックする、またはJavaScriptなどの自動実行
脆弱性を利用してブラウザ、メーラー、ヘルプビューアなどのアプリケーションか
らTerminalへUNIXコマンドを入力できてしまう脆弱性が存在する。

実験環境
Mac OS X 10.2/10.2.1にて、telnet://をリンクとして扱う全てのアプリケーション
で、下記のリンクをクリックすると、Terminalが起動し、ls -laを実行する。<br>
<a href="telnet://|ls -la">telnet://|ls -la</a>

原因
telnet://（/,:を含まない任意の文字列）/のURLがプロトコルヘルパー経由
でTerminalに渡った場合、Terminalに
telnet（任意の文字列）
が入力したと見なされる。そのため、URL中にパイプ「|」やバックグラウンド「＆」、
ASCIIコードで改行「%0A」などが含まれていると、これらの文字列をTerminalへの入
力として処理する。

対処法
“Security Update 2002-09-20”（1.0）を適用する。
上記セキュリティアップデートを適用することによって、プロトコルヘルパー
がtelnet://以下の文字列をTerminalに渡した場合、全ての文字列をドメインとして
扱う。
上記の例では、|ls -laというtelnetサービスへ接続を試みる。
このため、上記テストで使用しているパイプ「|」を使ったコマンド入力やバックグ
ラウンド「＆」を使用できてしまう脆弱性がなくなったと見なされる。

備考
Mac OS X 10.1系列やMac OS 9ではtelnet://プロトコルはNCSA Telnetが処理する。
NCSA Telnetは標準搭載のアプリケーションではないが、これがインストールされて
いる場合、上記の脆弱性を利用できる可能性が残る。NCSA Telnet、Mac OS 9とも
にup to dateなプロダクトではないため、検証を行っていない。

PS:
これって0day Exploitに相当するのでしょうか？

name:太洋
E-Mail:taiyo@xxxxxxxxxxx
PGP署名　　　http://www.u-struct.com/taiyoFUJII.gpgkey
Fingerprint = 7706 0496 952C 1734 E584  FF4A AEC3 7AC9 8647 B761


--[PR]------------------------------------------------------------------
■■当　た　る!■■■■■■■■■■■■■■■■■■■■■■■■■■■
■　　ＨＥＲＭＥＳ　/　Ｖｕｉｔｔｏｎ　/　ＢＶＬＧＡＲＩ　　　　　 ■
■　　ＧＵＣＣＩ　　/　ＣＨＡＮＥＬ　　/　Ｄｉｏｒ...etc.　　　　　■
■　　　　　　　　　　　　　　　　　　　　　　　　　　 ２３３名！　■
■■■■■ 今スグ⇒ http://ad.freeml.com/cgi-bin/ad.cgi?id=braGX ■■
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp