[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0655] Mac OS X URI Handler Arbitrary Code Execution

石川@子供が風邪で子守り中なので反応鈍い、です。

そろそろ各所既報なこの件、流しておきます。
# 子守りしつつ2日に渡って書いたので、冗長なのはご容赦を。

先に簡単にまとめておくと、この脆弱性は、「help://〜」と「disk://〜」で始まる
2種のURLハンドラにより、webブラウザを介して、webページから任意のスクリプトを
実行可能なもの、です。
コンセプトとしてのexploitがweb上にありますので、危険性は高いと見た方が良いでしょう。

対策としては以下が挙っています。
	○Safariの「環境設定...」で、「一般」の「ダウンロード後、"安全な"ファイルを開く」の
	 チェックをオフ
	 (多くの場所で対策として挙げられていますが、余り効果は有りません。)
	○「help://〜」と「disk://〜」のURLハンドラの設定変更
	 具体的には、More Internet 
	 <a href="http://www.monkeyfood.com/software/moreInternet/">
	 をダウンロードし、「help」と「disk」について参照アプリケーションを変更します。
	 <http://www.wirefarm.com/archives/003875.html>(英語)
	 <http://salvageship.dropcontrol.com/2004/05/importantjim_ha.html>(日本語訳)
	 に解説があるのでご参考に。要はプロトコルへルパーのマッピング変更ですね。
	 MisFox <http://www.clauss-net.de/misfox/misfox.html>も利用可能なようです。
	
消極的な対策としては、管理者権限を持つユーザでwebをブラブラしないってトコでしょうか。


以下、もう少し詳しくまとめます。
なお、情報の一次ソースから紹介するのが筋だと思うのですが、後述のSecuniaのAdvisoryが
書き換えられたほど状況が変わっているので、今まで情報を追いかけていなかった方にも
解るような感じで要点を紹介します。
その他の情報は、末尾の「その他の情報」を各自ご覧ください。


まずは、SecuniaのAdvisoryから。
○ Secunia - Advisories - Mac OS X URI Handler Arbitrary Code Execution 
<http://secunia.com/advisories/11622/>

注意したいのは、昨日の時点でこのAdvisoryではこの脆弱性の危険性レベルを
"highly critical" とされていたものが、本日には "Extremely Critical" と
されている点です。

これは、この脆弱性の一次ソースである
○lixlpixel | explanation
<http://fundisom.com/owned/warning>
では、「help://〜」のURLハンドラについての事しか語られていなかったことによる
と思われます。

「help://〜」に加えて、これまでに「disk://〜」を組み合わせ、ディスクイメージを
使ってwebページの作用つまり外部から(ディスクイメージで作り出した任意の場所の)
任意のスクリプトを実行できることが解っています。

Secuniaの「Description」や「Solution」は眺める程度にしておいて、次に動作原理です。

○Details on Mac OS X/Safari security vulnerability | MacNN News
<http://www.macnn.com/news/24748>

以下、記事の部分的な勝手超訳です。
----------------------------------------------------------------------
この脆弱性は、'help'と'disk'の2つのURIハンドラによって引き起こされます。
前者はユーザの手元でどの様なAppleScriptをも実行可能にしてしまい、後者は
外部からディスクイメージを自動的(訳者注:強制的)にマウントさせることが
可能です。
よって、この脆弱性により悪意のある第三者は、リモートからディスクイメージを
マウントさせ、そしてそのディスクイメージ内の任意のUnixコマンド(例えば
ユーザのホームディレクトリ内のファイルを丸ごと削除してしまう)を含んだ
AppleScriptを実行させるようなWebページを作ることができます。
この脆弱性は、Safari, IE, FireFoxといったどのブラウザでも引き起こされます。
----------------------------------------------------------------------

ディスクイメージで任意の場所を作り出しイメージ内の任意のスクリプトを実行する
って手法は既知のものですが、「disk://〜」に関しては今回が初めてでしょう。
実際には「help://〜」によりHelp Viewerを介してスクリプトが実行されるので
「help://〜」で実行されるスクリプトはwebブラウザには依存しないようですね。

このMacNNの記事中でも「offers details on the problem」の箇所でリンクされて
いますが、以下のページでこの脆弱性の検証ができます。

<http://bronosky.com/pub/AppleScript.htm>

ページを読み込むと、Terminal.appが起動し、/usr/bin/du が実行されます。
/usr/bin/top や /bin/ls の実行を試せますし、任意のファイルを自分で指定して
webページ上から実行してみることも可能です。
「help://〜」を使っているので、どれかを実行する度にHelp Viewerが起動するのに
ご注意ください。
ソースを見れば解りますが、このページでは「help://〜」しか使っていないようです。

私の手元では、Safari 1.2.1 (v125.1), IE 5.2.3 (5815.1), FireFox 0.8, の3つで
ページを開くと自動的に/usr/bin/du が実行されることを確認しました。


また、「disk://〜」を使っている訳ではないですが、古い手法である
<meta HTTP-EQUIV="refresh" 〜>を使ってディスクイメージをダウンロードさせた後
「help://〜」でスクリプトを実行する形の検証環境を以下で試せます。

<http://www.insecure.ws/article.php?story=2004051612423136>
の「the Proof Of Concept」のリンクからどうぞ。

このページでは、2つフレームを使い、左フレームで「0x04_script.dmg」の強制
ダウンロードを実行し、右フレームでマウントされたイメージ内の
「Volumes:0x04_script:0x04_script.term」を実行しています。

Safari 1.2.1でこのページを開くと、**最初に述べた「ダウンロード後、"安全な"
ファイルを開く」のチェックが外れていても**、dmgのダウンロードが始まり、Help
Viewerの起動までが自動的に行われます。
IE 5.2.3とFireFox 0.8に関しては、**dmgのダウンロードがされず**、何と
左フレームに「0x04_script.dmg」が展開(?)されて、そのままHelp Viewerの実行まで
行ってしまいます。
# 初めて見たんですが...この挙動。何ですかね、コレ。
# 特にMozilla系列は、以前のAuto file Execution の時はまともだったはず...


また、「disk://〜」を使った検証環境が見当たらなかったので、空で500KBのディスク
イメージを、.macの領域に上げて試してみました。

<disk://homepage.mac.com/vm_converter/blank.dmg>

で試せますが、Safari, IE, FireFoxともに、**各ダウンロードマネージャに
何も履歴が残らずに** ディスクイメージがマウントされます。

$ df -h | grep blank
/dev/disk4s2                  512K    76K   436K    15%    /Volumes/blank



以上、すっかりMLに流すのが遅れましたが、任意の場所で任意のスクリプトを実行
できる脆弱性ということで、皆様ご注意を。

-----

■その他の情報
○ [Full-Disclosure] Vuln. MacOSX/Safari: Remote help-call, execute scripts    
<http://lists.netsys.com/pipermail/full-disclosure/2004-May/021582.html>
単にFull-Disclosureに紹介しただけのようです。

○Safari advisory upgraded to 'Extremely Critical'; Apple responds
<http://maccentral.macworld.com/news/2004/05/18/safariadvisory/index.php?redirect=1084933283000>
「まぁきっと対応するんでしょう」程度が解る、Appleのコメントが載っています。

○MacNN Forums - Serious Security Flaw in Mac OS X/Safari/Help Viewer
<http://forums.macnn.com/showthread.php?s=&amp;threadid=213043&amp;perpage=50&amp;pagenumber=1>
この件について活発に議論されていたようです。(が、私は読んでません。)

○Mac OS X: Highly critical security flaw :: The Daily Journey :: JayAllen.org
<http://www.jayallen.org/journey/2004/05/mac_os_x_highly_critical_security_flaw>
コメントを読んでいくと面白いです。

○Don`t go there GURLfriend! 1.0 - MacUpdate
<http://www.macupdate.com/info.php/id/14992>
この件に対処するためのものだそうですが、個人的に対処のピントがズレてると
感じたので試していません。


P.S.
ちなみにw3mは無問題でした。

-- 
石川 泰久/vm_converter
vm_converter@xxxxxxx


--[PR]------------------------------------------------------------------
┏━┯━┯━┯━┯━┓ 最新情報もりだくさん! ┏━┯━┯━┯━┯━┓
┃★│星│占│い│★┣━┯━┯━┯━┯━┯━┯━┫■│壁│ │紙│■┃
┗━┷━┷━┷━┷━┫⇒│ニ│ュ│ー│ス│速│報┣━┷━┷━┷━┷━┛
          ┗━┷━┷━┷━┷━┷━┷━┛
 mypopで毎日お届け => http://click.freeml.com/ad.php?id=167197
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp