[harden-mac:0658] Re: Mac OS X URI Handler Arbitrary Code Execution

[vm_converter <vm_converter@xxxxxxx>]

石川です。

On 2004年 5月 19日 , at 23:32, Tomio Arisaka wrote:

> みなさま初めまして、Tomio Arisakaと申します。
> 今回が最初の書き込みになります。今後ともよろしくお願いします。

初めまして。
# と申しますか、お世話になっておりますと申しますか...

こちらこそ宜しくお願いします。

> ちょっとした補足情報です。
>
> 我が家のMacOSX-10.2.8環境では、「help:runscript」によるTerminalコマンドの実行は
> 不可能でした。勿論、AppleScriptは実行可能なので、救いにはなりません。

そうですか。情報有難うございます。
私も簡単に手元の Mac OS X 10.2.8 ＋ Safari 1.0 (v85.7) で検証してみましたが、

(1) <http://bronosky.com/pub/AppleScript.htm>
Help Viewerが起動 -> 何故かXDarwinが起動してDockに現れてすぐ消える

確かに「help:runscript」での/usr/bin/duの実行までは行きませんでしたが、
XDarwinが一瞬起動したのを見て、とても嫌な気分になりました...
このXDarwinは、SolarisへXDMCPで接続するテストの為だけに入れていたもの
なのですが、きちんと使っていたらX上で/usr/bin/duが実行されていたの
かもしれませんね。検証するつもりはないのですが。

(2) <http://www.insecure.ws/safari/0x04_test.html>
Disc Copyが起動 -> Help Viewerが起動 -> Disk Copyで『エラー 51 のため
"0x04_new_script.dmg"のマウントに失敗しました。(ネットワークにつながり
ません) 』のエラー表示がでる

(3) <disk://homepage.mac.com/vm_converter/blank.dmg>
Disc Copyが起動 -> Disk Copyで『エラー 51 のため"blank.dmg"のマウントに
失敗しました。(ネットワークにつながりません) 』のエラー表示がでる

といった感じでした。


> Appleからの技術資料：
> （Developer Tools／Xcode Toolsがインストールされている場合に参照可能）
> Help Viewer.appには、Apple Help HTML中からAppleScriptを呼び出せる機能があります。
> <file:///Developer/Documentation/Apple%20Help/ 
> Apple%20Help%20Reference/HTML/AHConcepts/ 
> Non_HTML_Ap_elp_Content.html#CFJBIHIA>
>
> 「Safari, IE vulnerability allows execution of malicious code」での
> ディスカッションで「help:runscript」に対する直接的な対策が述べられていま
> したので、紹介します。
> <http://maccentral.macworld.com/news/2004/05/17/safari/>
> (a) Mac Help Centerが全く使用できなくなっても良いのなら、「/Library/Documentation」
> 　　内の「Help」を別の名前に変更します。（ちょっと乱暴ですが）
> (b) もう少し気が利いた方法としては、Help Viewer.appのAppleScript実行機能をオフにする
> 　　方法があります。
> 　　/System/Library/CoreServices/Help\ Viewer.app/Contents/Info.plist
> 　　上記ファイル「Info.plist」中のboolean-key「NSAppleScriptEnabled」の値を「true」
> 　　から「false」（Property List Editorでは、「Yes」から「No」）にする。
> 　　（実際に行う場合は、最初にInfo.plistのバックアップを取ると良いでしょう）

(b) の方法はAppleScript実行の抑制にしか効かないとはいえ、スマートで良さそうですね。


なお、以下の[harden-mac:0655]で私が書いた対策の部分ですが、URIハンドラの設定変更
というかプロトコルへルパーのマッピング変更は、More Internetを使わずとも IE で
可能みたいです。

○MacOS Xの脆弱性回避（Web Scripter's Meeting）
http://mtlab.ecn.fpu.ac.jp/webcon.mtxt$040519212559.html

で知り、「そう言えばそうだった...」と手元でも検証して確認しました。
これが一番気軽な対処法だと思いますし、More Internetを使うよりはお勧めですね。

> On 2004.5.19, at 10:09 PM, 石川 泰久 wrote:
>
>> 先に簡単にまとめておくと、この脆弱性は、「help://〜」と「disk://〜」で始まる
>> ２種のURLハンドラにより、webブラウザを介して、webページから任意のスクリプトを
>> 実行可能なもの、です。
>> コンセプトとしてのexploitがweb上にありますので、危険性は高いと見た方が良いでしょう。
>>
>> 対策としては以下が挙っています。
>> 	○Safariの「環境設定...」で、「一般」の「ダウンロード後、"安全な"ファイルを開く」の
>> 	　チェックをオフ
>> 	　（多くの場所で対策として挙げられていますが、余り効果は有りません。）
>> 	○「help://〜」と「disk://〜」のURLハンドラの設定変更
>> 	　具体的には、More Internet
>> 	　<a href="http://www.monkeyfood.com/software/moreInternet/">
>> 	　をダウンロードし、「help」と「disk」について参照アプリケーションを変更します。
>> 	　<http://www.wirefarm.com/archives/003875.html>（英語）
>> 	　<http://salvageship.dropcontrol.com/2004/05/importantjim_ha.html>（日 
>> 本語訳）
>> 	　に解説があるのでご参考に。要はプロトコルへルパーのマッピング変更ですね。
>> 	　MisFox <http://www.clauss-net.de/misfox/misfox.html>も利用可能なようです。
>> 	
>> 消極的な対策としては、管理者権限を持つユーザでwebをブラブラしないってトコでしょうか。


-- 
石川 泰久／vm_converter


--[PR]------------------------------------------------------------------
┏━┯━┯━┯━┯━┓　最新情報もりだくさん！　┏━┯━┯━┯━┯━┓
┃★│星│占│い│★┣━┯━┯━┯━┯━┯━┯━┫■│壁│　│紙│■┃
┗━┷━┷━┷━┷━┫⇒│ニ│ュ│ー│ス│速│報┣━┷━┷━┷━┷━┛
　　　　　　　　　　┗━┷━┷━┷━┷━┷━┷━┛
　mypopで毎日お届け => http://click.freeml.com/ad.php?id=167197
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp