[harden-mac:0110] Re: Security Update 2002-09-20

[FUJII Taiyo <taiyo@xxxxxxxxxxx>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> 何れにせよ、Mac OS Xと同Serverのv10.2以降のユーザは、即時に
> アップデータを適用した方が良さそうです。

非常に危険なセキュリティホールへの修正パッチとなっています。
即座にアップデータを適用する必要があると感じます。

実は、昨夜この脆弱性を全くの偶然から発見していました（前々から臭いな〜とは思っ
ていたんで何かあるかとは思っていましたが）。ベンダーへの連絡などはこれから準
備しようとしていたところです。
以下に、整理した内容を投稿します。

概要
Mac OS X 10.2/10.2.1では、URLをクリックする、またはJavaScriptなどの自動実行
脆弱性を利用してブラウザ、メーラー、ヘルプビューアなどのアプリケーションか
らTerminalへUNIXコマンドを入力できてしまう脆弱性が存在する。

実験環境
Mac OS X 10.2/10.2.1にて、telnet://をリンクとして扱う全てのアプリケーション
で、下記のリンクをクリックすると、Terminalが起動し、ls -laを実行する。<br>
<a href="telnet://|ls -la">telnet://|ls -la</a>

原因
telnet://（/,:を含まない任意の文字列）/のURLがプロトコルヘルパー経由
でTerminalに渡った場合、Terminalに
telnet（任意の文字列）
が入力したと見なされる。そのため、URL中にパイプ「|」やバックグラウンド「＆」、
ASCIIコードで改行「%0A」などが含まれていると、これらの文字列をTerminalへの入
力として処理する。

対処法
“Security Update 2002-09-20”（1.0）を適用する。
上記セキュリティアップデートを適用することによって、プロトコルヘルパー
がtelnet://以下の文字列をTerminalに渡した場合、全ての文字列をドメインとして
扱う。
上記の例では、|ls -laというtelnetサービスへ接続を試みる。
このため、上記テストで使用しているパイプ「|」を使ったコマンド入力やバックグ
ラウンド「＆」を使用できてしまう脆弱性がなくなったと見なされる。

備考
Mac OS X 10.1系列やMac OS 9ではtelnet://プロトコルはNCSA Telnetが処理する。
NCSA Telnetは標準搭載のアプリケーションではないが、これがインストールされて
いる場合、上記の脆弱性を利用できる可能性が残る。NCSA Telnet、Mac OS 9とも
にup to dateなプロダクトではないため、検証を行っていない。

PS:
これって0day Exploitに相当するのでしょうか？

name:太洋
E-Mail:taiyo@xxxxxxxxxxx
PGP署名　　　http://www.u-struct.com/taiyoFUJII.gpgkey
Fingerprint = 7706 0496 952C 1734 E584  FF4A AEC3 7AC9 8647 B761
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.7 (Darwin)
Comment: Generated by Gpg Tools - http://www.tomsci.com/gpgtools

iEYEARECAAYFAj2MH3MACgkQrsN6yYZHt2F6CwCfWn/GK7zKkNtDxbhawJoRtvXh
fSYAoJqnDs5KVRTPRMg1UT33/sb9D+nt
=DKl9
-----END PGP SIGNATURE-----