Mac OS X te hacken via kwaadaardige plaatjes
Apple heeft een beveiligingsupdate voor Mac OS X uitgebracht, die in totaal 18 lekken verhelpt, waaronder één die al bijna anderhalf jaar oud is. De derde Security Update van dit jaar, is voornamelijk gericht op kwaadaardige afbeeldingen. Door het openen van een speciaal geprepareerd PNG, RAW, OpenEXR of andere afbeelding, kan een aanvaller willekeurige code op het systeem uitvoeren. Het uit maart 2008 stammende lek betreft een probleem met gecomprimeerde bestanden. Een aanvaller zou op deze manier de bzip applicatie kunnen laten crashen. De meeste kwetsbaarheden geven een aanvaller controle over het systeem, hoewel één van de lekken een lokale gebruiker systeemrechten geeft. Security Update 2009-003 is te installeren via de Software Update functie of Apple Downloads.
Zo ja, weet je misschien of het mogelijk is deze via een browser te triggeren? MAW. als je een "kwaadaardig" plaatje op je pagina zet en een gebruiker bekijkt die pagina kun je dan code op zijn pc uit laten voeren?
Ja. Alles wat ImageIO gebruikt is vatbaar, hieronder vallen bijvoorbeeld Safari, Finder, Preview en alles wat WebKit gebruikt.
Tx! Ik was wat te lui om het zelf uit te zoeken.
Stel:
- iemand had een kwaadaardig plaatje gemaakt dat zelf gebruikt maakt van de user -> systeem rechten bug
- iemand had dat plaatje (bijvoorbeeld) via een reclame service (of andere manier) op veel/bekende sites naar voren kunnen toveren
Dan:
- hadden we nu misschien wel een hoop infected MAC's gehad?
Of denk ik te simpel?
- iemand had een kwaadaardig plaatje gemaakt dat zelf gebruikt maakt van de user -> systeem rechten bug
- iemand had dat plaatje (bijvoorbeeld) via een reclame service (of andere manier) op veel/bekende sites naar voren kunnen toveren
Dan:
- hadden we nu misschien wel een hoop infected MAC's gehad?
Of denk ik te simpel?
Nee, da's een mogelijk scenario. Overigens hoef je niet die privilege escalation te gebruiken om een systeem te infecteren. Een standaard OS-X gebruiker heeft admin rechten waar je al het een en ander mee kan doen (en nee, dan is er geen wachtwoord nodig). Je zou zelfs een zombie kunnen installeren op het account van een gebruiker zonder admin rechten.
OK, dat een standaard gebruiker veel rechten had wist ik niet (ben geen MAC kenner). Maar dit soort aanvallen zijn uiteindelijk toch overal mogelijk? En dan bedoel ik, zodra er een mogelijk is om random code uit te voeren en er is een privilige escalation bug dan ligt de hele wereld (lees pc) voor je open....
Ik vraag me dat af omdat veel mensen zeggen dat het niet hebben van admin rechten onder hun account er voor zorgt dat het systeem niet volledig overgenomen kan worden. En ik begrijp wel dat dit de kans van misbruik verkleint. Maar zodra er tegelijkertijd een bug is voor privilige escalation dan kan een aanvaller toch op systeem rechten code uitvoeren.
Enerzijds is het wel interessant te constateren dat het bestaan van de bug niet heeft geleid tot veel sites die de bug 'benutten'.
Anderzijds is het natuurlijk wel schandalig dat Apple zo lui is geweest met het herstellen van ImageIO.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.