Mac OS X te hacken via kwaadaardige plaatjes
Apple heeft een beveiligingsupdate voor Mac OS X uitgebracht, die in totaal 18 lekken verhelpt, waaronder één die al bijna anderhalf jaar oud is. De derde Security Update van dit jaar, is voornamelijk gericht op kwaadaardige afbeeldingen. Door het openen van een speciaal geprepareerd PNG, RAW, OpenEXR of andere afbeelding, kan een aanvaller willekeurige code op het systeem uitvoeren. Het uit maart 2008 stammende lek betreft een probleem met gecomprimeerde bestanden. Een aanvaller zou op deze manier de bzip applicatie kunnen laten crashen. De meeste kwetsbaarheden geven een aanvaller controle over het systeem, hoewel één van de lekken een lokale gebruiker systeemrechten geeft. Security Update 2009-003 is te installeren via de Software Update functie of Apple Downloads.
Zo ja, weet je misschien of het mogelijk is deze via een browser te triggeren? MAW. als je een "kwaadaardig" plaatje op je pagina zet en een gebruiker bekijkt die pagina kun je dan code op zijn pc uit laten voeren?
Ja. Alles wat ImageIO gebruikt is vatbaar, hieronder vallen bijvoorbeeld Safari, Finder, Preview en alles wat WebKit gebruikt.
Tx! Ik was wat te lui om het zelf uit te zoeken.
Stel:
- iemand had een kwaadaardig plaatje gemaakt dat zelf gebruikt maakt van de user -> systeem rechten bug
- iemand had dat plaatje (bijvoorbeeld) via een reclame service (of andere manier) op veel/bekende sites naar voren kunnen toveren
Dan:
- hadden we nu misschien wel een hoop infected MAC's gehad?
Of denk ik te simpel?
- iemand had een kwaadaardig plaatje gemaakt dat zelf gebruikt maakt van de user -> systeem rechten bug
- iemand had dat plaatje (bijvoorbeeld) via een reclame service (of andere manier) op veel/bekende sites naar voren kunnen toveren
Dan:
- hadden we nu misschien wel een hoop infected MAC's gehad?
Of denk ik te simpel?
Nee, da's een mogelijk scenario. Overigens hoef je niet die privilege escalation te gebruiken om een systeem te infecteren. Een standaard OS-X gebruiker heeft admin rechten waar je al het een en ander mee kan doen (en nee, dan is er geen wachtwoord nodig). Je zou zelfs een zombie kunnen installeren op het account van een gebruiker zonder admin rechten.
OK, dat een standaard gebruiker veel rechten had wist ik niet (ben geen MAC kenner). Maar dit soort aanvallen zijn uiteindelijk toch overal mogelijk? En dan bedoel ik, zodra er een mogelijk is om random code uit te voeren en er is een privilige escalation bug dan ligt de hele wereld (lees pc) voor je open....
Ik vraag me dat af omdat veel mensen zeggen dat het niet hebben van admin rechten onder hun account er voor zorgt dat het systeem niet volledig overgenomen kan worden. En ik begrijp wel dat dit de kans van misbruik verkleint. Maar zodra er tegelijkertijd een bug is voor privilige escalation dan kan een aanvaller toch op systeem rechten code uitvoeren.
Enerzijds is het wel interessant te constateren dat het bestaan van de bug niet heeft geleid tot veel sites die de bug 'benutten'.
Anderzijds is het natuurlijk wel schandalig dat Apple zo lui is geweest met het herstellen van ImageIO.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
