Nieautoryzowane zdobycie praw administratora w OS X Yosemite

Przyzwyczailiśmy się do tego, że co jakiś czas wychodzą na jaw kolejne dziury systemu OS X. Oczywiście Apple stara się wykryte luki naprawiać lecz po jakimś czasie odkrywanę są nowe. Tak jest i tym razem.

Luka została znaleziona w dynamicznym łączniku dyld i pozwala na uruchomienie oraz utworzenie plików, do których dostęp ma tylko użytkownika korzystający z konta root. Jak wiadomo udostępnia ono pełną kontrolę nad systemem, więc nie trudno sobie wyobrazić do czego może doprowadzić wykorzystanie takiej luki.

Przykład użycia tej luki możecie zobaczyć w podanej linijce kodu. Za jego pomocą możemy zalogować się do root'a bez podania hasła dostępu.

echo 'echo "$(whoami) ALL=(ALL) NOPASSWD:ALL" >&3' | DYLDPRINTTO_FILE=/etc/sudoers newgrp; sudo -s # via reddit: numinit (shorter)
— Stefan Esser (@i0n1c) July 22, 2015

Najprawdopodobniej gigant z Cupertino wie o tej luce, ponieważ nie występuje ona w betach 10.11. Natomiast w systemach 10.10.4 oraz 10.10.5 ciągle nie jest załatana.

Jeżeli nie chcecie instalować El Capitan i zostajecie z Yosemite to powinniście zainstalować łatkę autorstwa Stefana Esser'a. Możecie ją pobrać tutaj.

Komentarze 32

thermoos 2015-07-24

to dlaczego gigant wie ... i ma to w duuuupie ? Skoro Pan Stefan Esser opublikował łatkę to chyba temat jest do ogarnięcia dla japkowych miszczów.

thermoos 2015-07-24

a skąd pomysł, że to pytanie do Ciebie? ot taka retoryczna złośliwość :)

Paf 2015-07-24

Bo to niby jedyny sposób ^^ ? Dobre sobie :]

Arek P Paf 2015-07-26

A gdzie w tekście jest napisane że to jedyna możliwość?

Agher 2015-07-24

A jaka pewność ze w łatce tego pana nie jest ukryte jeszcze wiecej ciekawych rozwiązań ;)? domyslam sie, ze pewnie przy instalacji trzeba podać hasło...;)

Zobacz wszystkie 13 odpowiedzi Ukryj odpowiedzi

Paweł P. Agher 2015-07-24

Dokładnie mógłby ktoś prześwietlić sprawę :)

thermoos Agher 2015-07-24

dlatego wolałbym jak Ty, poprawkę od autorów systemu

citanek Agher 2015-07-25

Poprawka jest niewielka i dostępna w postaci kodu źródłowego.

citanek Paweł P. 2015-07-25

Proszę: https://github.com/sektioneins/SUIDGuard/blob/master/SUIDGuard/SUIDGuard.c

enedil Agher 2015-07-27

Proszę Ciebie, to jest tylko 200 linijek kodu w C. Możesz samemu wykonać audyt. A potem skompilować ze źródeł.

Metztlee enedil 2015-07-27

I powiedz jeszcze, że oczekujesz od wszystkich userów, by potrafili czytać kod w C, kompilować go etc... Stwierdzę wtedy, że sam nie masz pojęcia o tworzeniu produktów, a jeżeli o programowaniu tak, to tylko jako koder. Właściwie to odnosi się to zarówno do @enedil jak i @citanek.

enedil Metztlee 2015-07-27

Tu chodzi o coś zupełnie innego. Ufasz, że dziesiątki (być może setki) tysięcy linijek nieopublikowanego kodu, na który składa się chociażby Cocoa, są bezpieczne, lub chociaż nie zawiera celowych błędów, a nie możesz zaufać zaledwie 200 linijkom otwartego kody, który w dodatku przyciągnął uwagę? Gdzie tutaj logika? Człowiek piszący tylnią furtkę w takim czymś staciłby na zawszę reputację.

Metztlee enedil 2015-07-27

Nie mam wyboru jak tylko ufać, że bebechy OS X nie robią nic złego. Jeżeli bym nie ufała, to mogę nie instalować tego systemu. Wtedy muszę zaufać M$, Googlowi lub innym. Czyli albo im ufam, albo nie korzystam z komputerów jakiegokolwiek typu (albo sama sobie napiszę system). W przypadku tego kodu: albo mam dziurę w systemie i czekam na update, albo używam fixa od jakiegoś developera z sieci. Często używam opensource'ów, które jak z czasem się okazuje, nie są dobrze napisane i wywołują jakieś błędy. Norma, moje opensource'y gdy nie mam czasu ich aktualizować też nie są perfekcyjne, a nie dotyczą tak trudnych kwestii jak security. Skąd wiesz, że ten akurat koleś pisze coś bezpiecznego? Tego kolesia max gwiazdek to poniżej 400, więc jaka reputacja?? Sam się zastanów nad logiką swoich słów: jak powierzasz swój sekret, to lepiej 1 osobie (aka Apple/M$/Google) czy większej liczbie (aka Apple/etc + developerzy fixów)?

enedil Metztlee 2015-07-27

Nie deweloper zaufany, a zaufany specjalista od bezpieczeństwa. Poza tym, ja zrozumiałem ten kod.

I tak, wolę ufać większej ilości osób, szczególnie że te ostatnie publikują cały kod źródłowy. Dlaczego? Bo jeżeli Apple wprowadzi furtki (a dzięki prism wiemy, że to zrobiło), nie będzie miało kontroli nad całym systemem.

Dlatego właśnie zastąpiłem zainstalowane domyślnie podstawowe narzędzia, przez GNU Coreutils.

Poprawnie napisane projekty opensource, to takie, które dostają finansowanie na utrzymanie. Tak działa kernel Linux, tak działają projekty GNU, tak działa Redis, tak działa wiele więcej programów. Oczywiście zdarzają się porzucone projekty. Ale to jest jednorazowy fix, do błędu niewystępującego w becie El Captain. Więc nie widzę problemu z utrzymywaniem kompatybilności.

Agher enedil 2015-07-27

Enedil, gratuluję Ci znajomości kodowania i umiejętności odczytania tych szlaczków z linka powyżej. Wyobraź sobie, że jednak nie każdy takie umiejętności posiada. Ludzie są różni, mają różne zawody i różne hobby i niekoniecznie każdego musi interesować informatyka. Nie każdy ma też czas na zgłębianie tajników kodowania, pomimo szczerych chęci. Co wiecej w mniemaniu wielu ludzi, duzo rzeczy moze uchodzić za duzo ważniejsze niz umiejętności kodowania. Dlatego nie każdy potrafi sobie taki kod odczytać i wywnioskować, że nie ma w nim nic złego, to po pierwsze. Po drugie zaś, jak Apple coś schrzani, to jest to ich wina, za którą zwykly użytkownik nie odpowiada. Natomiast, jezeli przeciętny użytkownik zainstaluje coś , co popsuje mu komputer, to winny jest on sam, nikt inny. Czy to takie dziwne, ze ludzie z rezerwa podchodzą do linijek kodu, ktorych odczytać nie znaja, napisanych przez kogos kogo zupełnie nie znaja i poleconych anonimowo w internecie przez kolejne osoby z definicji niegodne zaufania?

enedil Agher 2015-07-27

Dziwne to nie jest, ale nie rozumiem postawy prześmiewczej w stosunku do odkrywcy błędu i autora fixa.

Metztlee enedil 2015-07-27

Raz piszesz, że rzecz nie polega na zrozumieniu kodu tylko zaufaniu do specjalisty, potem argumentujesz, że Ty zrozumiałeś. Co za różnica czy Ty zrozumiałeś czy nie? Ja piszę o przeciętnym userze (bo ten nie zrozumie), a nie o Twoim indywidualnym przypadku. User nie wie też, kto jest specjalistą(a ten 'spec' nie jest nawet specjalnie znany poza środowiskiem jailbreakowym). Nie sądzę więc, by dobrym pomysłem było, by taki user injectował kawałki kodu, który jakiś koleś opublikował do fixowania systemu.

Na czym ma polegać? Na stronie myapple, gdzie może 1% tych co pisze, że rozumie, faktycznie rozumie? Na opinii dziennikarza, który zazwyczaj nie ma nic wspólnego z kodem i tylko przekazuje informacje (taka rola dziennikarza)? Na Twojej lub mojej opinii, kiedy w ogóle nie wiadomo kim jesteśmy i czy chcemy dobrze? Ma szukać w necie co i jak, potem nauczyć się jak to "instalować"? Zwykły user chce włączyć Maca i wierzyć, że "it just works", z całą pewnością nie będzie zastępować domyślnych narzędzi. Tym bardziej nie nauczy się C by "samemu zrobić audyt i skompilować ze źródeł". Biorąc pod uwagę, że doradzasz to losowej osobie w na forum geeków (a nie programistów), uważasz że każdy tu pisze/rozumie C? @Agher słusznie ma prawo się obawiać - nie rozumie tego i nikt z jakąkolwiek odpowiedzialnością za jego kompa tego nie potwierdził. To, że mu teraz napiszesz, że bierzesz odpowiedzialność, totalnie nic nie znaczy. Lepiej by poczekał, bo mało prawdopodobne, że mu się coś stanie w międzyczasie, niż by za którymś razem trafił na kod z niespodzianką.

Może taka sytuacja bardziej do Ciebie trafi: jeżeli buduję dom, jakiś człowiek wyłapie błąd budowy, to nie będę na ślepo podążać za radą tego człowieka, tylko poczekam na decyzję kierownika budowy. Nie znam się na tym, posłucham mądrzejszych w tym temacie i odpowiedzialnych za mój dom. Bo kierownik trafi do więzienia jak dach się na mnie zawali, człowiek z ulicy nie poniesie żadnych konsekwencji jeżeli mi źle doradzi. Głos większości też jest nic nie wart, bo większość powtórzy nie mając pojęcia co mówią. Analogicznie jest tutaj. Oczekiwanie, że wszyscy zrobią to co Ty robisz jest nierealne.

Offtop: To, co opisujesz, to nie "poprawnie napisane opensource'y"(wth?), tylko duże opensource'y. Problem właśnie w tym, że jak weźmiesz komercyjny produkt (system) to support dostaniesz od razu, przy opensource'ach bywa z tym ciężko. Znam co najmniej 2 startupy, które wywaliły się na błędach w opensource (jeden na mysql, dość dawno temu). Zresztą nie widzę powiązania, to jest mały fragment kodu, w którym nie ma żadnego utrzymania, dlatego końcówkę oznaczam jako offtop.

Agher enedil 2015-07-27

@enedil To chyba nie zrozumiałeś do końca. Nikt nie wyśmiewa faceta, który odkrył błąd. Chwała i cześć takim ludziom, którzy swój czas poświęcają na odwalanie roboty, która powinna być wykonana w firmie na etapie pisania oprogramowania. Prześmiewcza postawa odnosiła się do polecania jakiegoś fix'a zrobionego przez faceta, który jest dla większości userów nieznany, bez chociażby jakichkolwiek obiektywnych danych o łatce i jej twórcy. Jak już coś się poleca, to warto to robić z głową, zwłaszcza jak dotyczy to "wnętrzności" systemu.

czesiekwiesiek 2015-07-25

Wszyscy już to czytali w innych miejscach tydzień temu.

eyedropper 2015-07-25

czekam na oficjalną, reszcie zalecam to samo

Zobacz wszystkie 12 odpowiedzi Ukryj odpowiedzi

czesiekwiesiek eyedropper 2015-07-26

To poczekasz, apple teraz pracuje nad cieniami pod ikonkami, w pocie czoła.

Metztlee czesiekwiesiek 2015-07-27

Rozumiem, że nie wiesz iż grafik to nie programista? Czy też oczekujesz, iż Apple zatrudnia programistów do pracy grafika? A może jesteś zły, że graficy nie łatają dziur?

Jan Kawa Metztlee 2015-07-27

mój kolega to i grafik i programista :) a gość po prostu jest zły, że apple ma lepsze rzeczy do robienia niz łatanie dośc krytycznych dziur... co się dziwisz równie dobrze mozna by napisać, że nie mają czsau załatac tych dziur bo się procesują o domene ap.pl :)

Metztlee Jan Kawa 2015-07-27

Po pierwsze, w startupach i mniejszych firmach można robić parę rzeczy. W większych firmach to się raczej nie zdarza, gdyż każdy ma odpowiedzialność za swoją broszkę. To, że jestem w moim projekcie zarówno CEO, grafikiem, programistką, i osobą "od wymyślania koncepcji" nie oznacza, iż w większej firmie, w której pracuję, dopuszczają mnie do robienia grafik - nie, bo jestem programistką, za której czas płaci się dużo więcej, niż za czas grafika. Dlatego Twój argument totalnie do mnie nie trafia. Jeżeli Twój znajomy programista nie rozumie, że w sofcie zawsze są błędy to musi się zgłosić do NASA - wybitny programista, skoro nie znane są mu bugi. Apple, Microsoft, Google - wszystkie wielkie (i małe) firmy łatają swoje dziury, wszystkim z nich zajmuje to czas.

Jan Kawa Metztlee 2015-07-28

ponad 700 osób ale nie wiem czy to mała czy duża firma według twojego standardu - mój kolega dobrze rozumie obie dziedziny, a chyba nie zrozumieałeś, że pisałem o "gościu" powyżej czyli @czesiekwiesiek - to on jest wkurzony błędami, której duża firma z możliwościami nie kwapi się szybko załatać, ostatecznie ma rację bo stać ich "rzucuć" dodatkowe siły w celu zajęcia się tym

Metztlee Jan Kawa 2015-07-28

Oczywiście Twój "kolega" może być wyjątkiem (co nie zmienia faktu, że wątpię by w 700 osobowej firmie zajmował się tym i tym). Z mojego doświadczenia wynika, iż w większych firmach programiści nie zajmują się grafikami. Znam zarówno takich firm, jak i programistów oraz grafików całkiem dużo, więc anonim z internetu (mówiący nawet nie ze swojego doświadczenia a innego anonima) nie będzie mi tłumaczyć, że białe jest czarne. Znam również co najmniej 2 developerów Apple (z ich konferencji i afterków) i żaden z nich grafikami się nie zajmuje. Anyway, grafik i programista to zupełnie inne zawody. Programiści siedzą przy swojej robocie, domenami czy grafikami zajmują się inni ludzie, tak jak HR, marketingiem i innymi. Ja też bym chciała, by Apple załatało dziury, jednak nie lubię gdy ktoś plecie bzdury myśląc, że jest cool bo sobie ponarzeka bez sensu.

Jan Kawa Metztlee 2015-07-28

racze jeszcze zauważyć, ze jesteś dokładnie takim samym anonimem z internetu i twoje zwątpienie w moje słowa nie zmienia faktów ani odnośnie mojego kolegi ani odnośnie opieszałości apple :)

Metztlee Jan Kawa 2015-07-28

Nie wiem skąd w Polsce jest tak popularne myślenie, że programista == grafik komputerowy == technik informatyk == spec od bezpieczeństwa systemów i każdy zajmuje się w firmie każdą z tych broszek. Opieszałość Apple swoją drogą i nie o to się czepiam, tylko o mylenie pojęć, które tu nastąpiło, gdyż @czesiekwiesiek nie rozróżnia tych zawodów. Nie chce mi się wierzyć, by w nich pracował i wciąż nie rozróżniał, jak również nie znał realiów, iż w większych firmach jest podział stanowisk pracy na jak najmniejsze segmenty a nie największe. Co do mnie jako anonima: to Ty mi próbujesz wmówić coś, co jest znane dokładnie odwrotnie, więc to Twoje słowa są wątpliwe. Odsyłam do jakichkolwiek stron w google, które potwierdzają moje zdanie, iż programista != grafik (w większości przypadków, bo mówimy przecież o developerach w Apple). Na tym też skończę, bo ta dyskusja toczy się ciągle w tym samym temacie i nie jest rozwijająca. Każdy z nas wie swoje, każdy z ewentualnych czytelników zinterpretuje swoje.

Jan Kawa Metztlee 2015-07-29

nic ci nie wmawiam tylko tak po prostu jest
skoro go to interesuje to jest i grafikiem i programuje, ba nawet projektuje tez intefejsy użytkownika do aplikacji mobilnych (takich na zamówienie)... a to twoje odsyłania mnie do jakichś stron i wmawiania mi mylenia pojęć... człowieku ja z programistami i grafikami pracuję od prawie 20 lat :) Może to jednak ty po prostu masz mierne pojęcie jak się w niektórych firmach pracuje... nie wiem
nie chcesz się z tym zgodzić OK ale nie wmawiaj mi, że wiesz lepiej skoro nie masz pojęcia, że tak się też pracuje :)

Metztlee Jan Kawa 2015-07-29

Ehh, należy się temu tylko jeden komentarz. "To poczekasz, apple teraz pracuje nad cieniami pod ikonkami, w pocie czoła." -> rozmawiamy nie o Was, nie o Tobie ani żadnym innym człowieku z tego forum, rozmawiamy o Apple, ich developerach i ich grafikach. To że nagle i Ty i kolega robicie od 100 lat i to i to, nie znaczy że to typowe zachowanie. Zresztą nieważne, widać że się nie dogadamy, jeden o jednym, drugi o drugim, zero wzajemnego zrozumienia.

Jan Kawa Metztlee 2015-07-29

OK więc skoro wracamy do apple:
po pierwsze zauważ ironię kolegi
po drugie napisał "apple teraz pracuje nad cieniami pod ikonkami" - jako programistka powinnaś wiedzieć, że często cienie robi się tez odpowiednim algorytmem... a wtedy potrzebni są programiści nie graficy... może w tym układzie sama skorzystaj z google i co tam jeszcze proponowałaś :)

Metztlee Jan Kawa 2015-07-29

Zrobienie cienia w kodzie, co jako doświadczony współpracownik grafików i kolega programistów powinieneś wiedzieć, trwa moment. Cały problem leży w gestii grafika, który najpierw musi zaplanować gdzie ten cień ma leżeć, czyli wciąż to na nim jest presja.

Co do ironii również o niej pisałam kilka wypowiedzi wyżej, pisałam też o tym iż ironia musi jako tako trzymać się rzeczywistości by była trafiona. Ta dla mnie jest tak oderwana od rzeczywistości, że ani śmieszna ani sensowna. Co innego jakby kolega napisał, że developerzy pogłębiają znajomość fun roomu zamiast łatać bugi.

To oczywiście moje zdanie, Wam może się ta ironia podobać, bo pasuje do Waszej rzeczywistości. Tym pozytywnym akcentem kończę dyskusję z mojej strony (mimo iż już to pisałam wcześniej).

Ciekawe informacje dotyczące Safari w systemie iOS 18

Ghost Touch może pojawiać się również w starszych zegarkach. Apple przesłało zalecenia do serwisów

Informacje dotyczące baterii w tegorocznych iPhone'ach

Tegoroczne zegarki Apple Watch z bardziej energooszczędnymi ekranami

Nieautoryzowane zdobycie praw administratora w OS X Yosemite

Komentarze 32