Forum
Mac
Mac OS X
Rupa u sistemu
(1 korsinik/a gleda/ju temu) (1) Gost

Rupa u sistemu


25.05.2004 | 09:44
Svima nama drag sistem u zadnje vrijeme cini se dosta supljikavim... taman sto je apple izbacio sekjuriti apdejt... cini se da ga nisu zakrpali kako spada... naime opet ranjivost (telnet -f, HelpViewer and Self URI Registering, Sherlock bugs, ...).. evo na negleskom clanka

In the same trend of the current URI exploits being researched (telnet -f, HelpViewer and Self URI Registering, Sherlock bugs, ...) I found Yet Another Remote Code Execution exploit.
Again, taking advantage of MacOS X's remote disk mouting to get the executable path, things are quite easy. It does not mean that it is required!


Adv: safari_0x06
Release Date: Private
Affected Products: MacOSX >= 10.3.3, Various Browsers, possibly others platforms/browsers
Fixed in: Not fixed.
Impact: Remote code execution.
Severity: High.
Vendors: Notified (23/02/04)
Author: Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript


So in a nutshell, ssh allows local command execution with the ProxyCommand option. Instead of executing a proxy application, we'll execute our own commands. Yes, it's that simple, and yes it's that powerfull. Note that you can also potentially forward remote ports using the -R flag and setting up a null-password account (ssh://ssh haxor.com -R port:localhostort).

URI's are all very dangerous, and the only solution that I see right now is asking for each non-standard URI (non-mail, http, and ftp for example) if the user wants to execute it, with the command name. This is very unfortunate because really cumbersome.

Tests on konqueror showed that this browser wasn't vulnerable as it skips commands arguments.
On Firefox/Epiphany/Mozilla I wasn't able to exploit it because of a bug in my gnome 2.6 handlers, otherwise it seems it would be possible.

So, as usual, a non-dangerous proof of concept demo is available

www.insecure.ws/article.php?story=200405222251133

Solution:
I suggest you trying Paranoid Android from Unsanity which does the job I described as a possible solution.
Odgovori Citiraj
26.05.2004 | 10:57
Štovani kolega Pantliče, osupnulo me Vaše otkriće i želio bih da provodim više vremena u Vašoj blizini, jer možda se i meni dogodi što i Vama.

Vaš odani kolega Brabec


(Don't panic, interna spika)

ROTFLMAO
Odgovori Citiraj
Forum
Mac
Mac OS X
Moderatori: Bertone
  • Stranica:
  • 1

Vikalica™

Zadnja poruka: pred 1 dan, 1 sat
  • dpasaric: Radim na tome da nabavim zanimljiv monitor za tehnički review, držite palčeve da upali jer bi moglo biti mnogima zanimljivo. :)
  • Yonkis: Font je drugačiji.
  • Performita: :-)
  • dpasaric: Pogledajte naslovnicu! :)
  • dpasaric: Taaaa-daaaa! :)
  • dpasaric: Javim uskoro... :)
  • dpasaric: Ne, ovdje na Jabučnjaku!
  • Yonkis: dpasaric - Jel' u Kokolu?
  • dpasaric: Spremamo poslasticu za večeras! :)
  • ivan.ocd: Hvala za konkretni model, budem i ja pogledao za takav neki model… imam puno knjiga koje trrba analizirati i tu je onda preslab.
  • drlovric: Moj kolega koristi Cowork sa M5 Pro sa 64GB, i nema tih problema... Ocigledno ti je taj Air preslab za tu specificnu namjenu :/
  • ivan.ocd: Da, prema Claudeu trebao bi M5 Max… neki dan je bilo preko 90GB Rama koje je koristilo… pogledat ću ovo sto si napisao pa javim
  • accom: Activity monitor će ti pokazat CPU / GPU / memory usage. Pretpostavljam, da je naročito GPU pod plafonom, a možda i Memory...
  • accom: A što kaže Claude po tom pitanju?
  • ivan.ocd: Ekipa, molim vas za brzinski savjet: imam MBA s 16GB RAM-a i koristim Claude puno, osobito Cowork. Izgleda da mi tih 16GB nije dovoljno jer svako malo dobijem upozorenje o memoriji, a i grije se ko lud (M5). Trebam li prodati ovaj Mac i gledati neki Pro ili Max s vise memorije ili hlađenja ili ne? Hvala
  • hal9000: OVO: -> [link]
  • hal9000: @yonkis: ma neki kompjuterski virusi... nemam pojma što je to! @smayoo: pa ja bih baš na krstarenje... :D
  • VanjusOS: [link]
  • smayoo: Sad su ti ta krstarenja vrlo povoljna pa nemaš više izgovora. ;)
  • Yonkis: hal9000 misliš o norovirusima? Srećom besparica me opet spasila pa nisam na kruzerima :j
  • hal9000: Danas čujem ekipu kako priča o nekim virus killer-ima. Može mi netko objasniti što je to? :D
  • imjasminh: Prodano kolegi s foruma.
  • imjasminh: 750 eur - [link]
  • Yonkis: Moram priznati da je ovo dobro odrađena aplikacija: [link]
  • imjasminh: Pozdrav svima! Prodajem Apple Watch Ultra 3, 49mm Black Titanium, račun garancija. Nije ni 2 mjeseca star, bacite pogled na oglase: [link]
  • dpasaric: I previše su ih prodali s obzirom na sve... oko 600.000
  • user: pa se nije dobro prodavao
  • user: Apple Vision je očito preskup bio
  • Riba: Bas glupost od hardvera.
  • Yonkis: Ok, i nije to neuspjeh, nešto su naučili iz toga, nadam se.
  • Riba: RIP Apple Vision. - [link]
  • drlovric: Lijepo [link]
  • dpasaric: Kao jako su zabirnuti za tvoju privatnost, a istovremeno s druge strane čini sve da je potkopaju...
  • Yonkis: Ova opcija neće nikada biti dostupna u EU ili...? [link]
  • Yonkis: The iOS 26.4.2, iPadOS 26.4.2, iOS 18.7.8, and iPadOS 18.7.8 updates that Apple released today address a security vulnerability that the FBI recently used to extract Signal message previews from an iPhone even after the app was deleted.
  • drlovric: Ja sam zadnji put cuo nikada da mi neko kaze, jao jest mi spor SSD na Mac :) To samo forsiraju ovi YT recenzenti. Nama normalnim smrtnicima totalno nebitna stavka na modernim M Macovima...
  • Yonkis: Zato jer mac diktira koliko će brzo SSD raditi. Ako radi max onda ce se i trošiti max. Ovako radi laganica pa traje dulje. Ovo pričam iz guzice. Možda ima smisla.
  • ZoPaj: mjerim s blackmagic disk speed test: mac studio m4 1tb disk 6380 mb/s read, 5200 write vanjski tb5 samsung 9100pro 4tb u acasis 80gps 6430 mb/s read, 6000 write znači vanjski brži od ugrađenog mac ssd
  • jura22: Uz TB5 i dobro kućište dobiju se velike brzine prijenosa podataka, ne kao interni SSD (otprilike duplo manje).
  • jura22: RAM se ne da "odlemiti" jer je sastavni dio SoC-a.
  • Ender: @cavarovobrdo: ... ili barem SSD.
  • cavarovobrdo: Nadam se da će novi CEO odlemiti RAM ;)
  • cavarovobrdo: Muštuluk: John Ternus to become Apple CEO
  • imenso: John Ternus novi CEO
  • CoffeePod: @yonkis jos me macOS 26 nije vidio a tko zna hoce li 27. Sequioa mi je toliko dobra da nemam razloga updejtati, a cijela prica sa Liquid Glass mi je odvratna.
  • Yonkis: The upcoming macOS 27 release will be compatible with Apple silicon Macs only.
  • dpasaric: Možeš uz search naći svaki
  • dpasaric: Pa zadnji intervju je na naslovnici, a ostali raspršeni tijekom godina
  • Ender: @dpasaric: a gde su ti razgovori? mislim gde se mogu naci?
  • Performita: Omogućuje lako postavljanje novih uređaja, sigurnost podataka i poslovni email bez velikog IT odjela. Cilj je da tvrtke rade jednostavnije i sigurnije na Apple uređajima.

Za vikanje moraš biti prijavljen.

Prijava

Prisutni jabučari

accom, Air, baka, Bertone, cariblanco, Daba, Djuro genijalac, dpasaric, drlovric, Ender, friga, Gjuroo, jura22, korisnik, m@xym, muharko, Riba, robertM, rusty, smayoo, supermac, temeljnik, tino1, user, Vanjuška, VanjusOS, Yonkis, ZeljkoB, zoranowsky, Anonimci (10274)

Novo na Jabučnjaku

Teme

Poruke

Članci

Oglasi

Komentari

Anketa

Koji Mac koristite?

Page Speed 0.87 Seconds

Provided by iJoomla SEO