Forum
Mac
Mac OS X
Rupa u sistemu
(1 korsinik/a gleda/ju temu) (1) Gost

Rupa u sistemu


25.05.2004 | 09:44
Svima nama drag sistem u zadnje vrijeme cini se dosta supljikavim... taman sto je apple izbacio sekjuriti apdejt... cini se da ga nisu zakrpali kako spada... naime opet ranjivost (telnet -f, HelpViewer and Self URI Registering, Sherlock bugs, ...).. evo na negleskom clanka

In the same trend of the current URI exploits being researched (telnet -f, HelpViewer and Self URI Registering, Sherlock bugs, ...) I found Yet Another Remote Code Execution exploit.
Again, taking advantage of MacOS X's remote disk mouting to get the executable path, things are quite easy. It does not mean that it is required!


Adv: safari_0x06
Release Date: Private
Affected Products: MacOSX >= 10.3.3, Various Browsers, possibly others platforms/browsers
Fixed in: Not fixed.
Impact: Remote code execution.
Severity: High.
Vendors: Notified (23/02/04)
Author: Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript


So in a nutshell, ssh allows local command execution with the ProxyCommand option. Instead of executing a proxy application, we'll execute our own commands. Yes, it's that simple, and yes it's that powerfull. Note that you can also potentially forward remote ports using the -R flag and setting up a null-password account (ssh://ssh haxor.com -R port:localhostort).

URI's are all very dangerous, and the only solution that I see right now is asking for each non-standard URI (non-mail, http, and ftp for example) if the user wants to execute it, with the command name. This is very unfortunate because really cumbersome.

Tests on konqueror showed that this browser wasn't vulnerable as it skips commands arguments.
On Firefox/Epiphany/Mozilla I wasn't able to exploit it because of a bug in my gnome 2.6 handlers, otherwise it seems it would be possible.

So, as usual, a non-dangerous proof of concept demo is available

www.insecure.ws/article.php?story=200405222251133

Solution:
I suggest you trying Paranoid Android from Unsanity which does the job I described as a possible solution.
Odgovori Citiraj
26.05.2004 | 10:57
Štovani kolega Pantliče, osupnulo me Vaše otkriće i želio bih da provodim više vremena u Vašoj blizini, jer možda se i meni dogodi što i Vama.

Vaš odani kolega Brabec


(Don't panic, interna spika)

ROTFLMAO
Odgovori Citiraj
Forum
Mac
Mac OS X
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 1 sat, 12 minuta
  • MacSin: OS stari do X je bio cool
  • MacSin: na poslu su svi na win lenovo aliu kad dodem doma je melem za oci ali kad treba nesto upgarde napravit tad je vec probelm
  • MacSin: OS je i dalje miljama od ostalih no sto se tice hardware to je vec diskutabilno
  • VanjusOS: neki mi javi se privatno, barem ako može kratko posuditi na probu
  • VanjusOS: ljudi, ima li možda netko viška Thunderbolt 2 to Thunderbolt 2 Cable
  • drpongrac23: Davno sam vozio "kockicu"
  • drpongrac23: @Yonkis - Kakav BMW - Uskoro kupujem za sebe Citrć Berlingo, jbg, godine...
  • drpongrac23: A zamjena ekrana preko 500 EUR!
  • drpongrac23: WTF?!? Ušle mi neke "bubice" u ekran na MBA M1. Totalni hit!!! 3 kom. BUBA ŠVABE!!!
  • Yonkis: Drpongrac23: a M5? Ne mislim na BMW.
  • drpongrac23: Preko 30 god. vjerni Apple korisnik - sada je vrijeme da zahvalim svima, ali Apple u mojim očima više nije što je nekad bio.
  • drpongrac23: Ovaj novi MacOS - bye, bye Apple!!! Ćesme od svega!
  • drpongrac23: PC za 400 EUR iz Pevexa žvače taj prastari MacPro za gablec :)
  • drpongrac23: U PC svijetu je DDR5 RAM polako standard - o čemu vi pričate?!?
  • BigMac: i ja kažem, prvo bolja pasta, nego zadnji put, i nižaa temperatura, očito prvi put nisam dobro stegao hladnjake, pa su procesori radili na nižem taktu :(
  • dpasaric: Odlično! :)
  • BigMac: Promjenio pastu na starom mac pro, osvježenje ....
  • smayoo: plus je sigurno problematičan, ali nije jedini
  • dpasaric: Više sam zaboravio koji su sve znakovi u pitanju, ali u tome je stvar.
  • dpasaric: I meni se često dogodi na nešto napišem i samo PUF!
  • dpasaric: Jura, na Vikalici se "progutaju" neki komentari jer postoje neki karakteri koje modul Vikalice ne podnosi i onda to sve samo ode u crnu rupu!
  • jura22: Mozda nezasitan?
  • VanjusOS: evo ja sam isprobao i radi! na A1 je moguće sa fizičke SIM prebaciti se na e-SIM na samom telefonu..
  • Borisone: Jer je gladan!
  • jura22: Zasto Jabucnjak guta komentare?
  • smayoo: :D
  • Borisone: Kako prebacuješ eSIM između moba za koji žena smije i za koji ne smije znat?
  • VanjusOS: ali bravo drlovric, nekad su najjednostavnija rješenje i najbolja!
  • VanjusOS: hahaha, problem je što imam službenu SIM karticu, pa ako mi se sjebe moram tražiti od firme da mi šalju novu...
  • drlovric: Pa probas i samo ce ti se kazati jbt. Sta je najgore sto se moze dogoditi? :)
  • VanjusOS: pitam da li je to itko isprobao?
  • VanjusOS: u iphoneu sa fizičkom sim karticom se pojavila opcija da se prebaci ta fizička sim u e-sim
  • VanjusOS: niste me shvatili, očito
  • miomika: na A1 ti samo pošalju na mail/sms ili putem aplikacije Moj A1 i to je to
  • rusty: Prije jedno 3 godine na Tmobile. u 22h navečer putem supporta jer se u protivnom trebalo ići u poslovnicu
  • VanjusOS: da li je netko isprobao funkciju konvertiranja SIM u e-SIM, i na kojoj mreži?
  • ZoPaj: ha ha, nisu li usbC isforsirali upravo radi štednji na punjačima:)
  • dpasaric: I bez punjača... :(
  • Borisone: Danas najavljeni novi iPad Pro, Vision Pro i MacBook Pro 14-inch. Sve s M5 procesorima (bez Pro i Max varijanti).
  • Air: Veliko priznanje Fedora našem Filipoviću - pozvao ga je na boksački meč.
  • Air: Taj pc laptop je imao cijenu cca 800 eura što nije malo
  • Air: Mislio sam da su se malo pomakli u tom smjeru, ali jok
  • Air: trackpad je... hm...
  • Bertone: Rekao sam ti da je kvaliteta izrade loša, ali sam CPU je brži od CPU-a iz MBP 2014/2015,... stavi na njega LinuxMint pa ćeš vidjeti da nije spor ;)
  • Air: Moj MBP 2014 je ferari / Bentley za usporedbu...
  • Air: Moj utisaK da sam ga platio 100-150 eura plakao bi što nisam dao još 150 za MBP 2014 - 2016 godište.
  • Air: Samo da javim, na kraju sam dobio laptop od frenda. Nije htio čuti za nikakve pare. Skro smo se posvađali ali eto pametniji popušta ;)
  • hal9000: Steve Jobs, vrati se! Sve ti je oprošteno! [link]
  • hal9000: Kakva pizdarija: [link]
  • drpongrac23: Meni onaj sa uzorkom krzna leoparda

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

Riba, smayoo, tino1, yvann11, Anonimci (572)

Novo na Jabučnjaku

Teme

Poruke

Članci

Oglasi

Komentari

Anketa

Koji Mac koristite?

Page Speed 0.85 Seconds

Provided by iJoomla SEO