Jabučnjak - Rupa u sistemu

Novosti
Članci
Forum
- Općenito
- Jabučnjak
- Ured za ukradene stvari
- Razno
- Mac
- Hardver
- Softver
- Mac OS X
- Mac OS Classic
- Video
- Grafika
- Internet i mreže
- Audio
- Programiranje
- Igre
- Emulacija i virtualizacija
- Switch
- Apple je, Mac nije
- iPod
- iPhone
- iPad
- Apple TV
- Apple Watch
- iOS
- Homekit
Oglasnik
- Hardver
- Ponuda
- Potražnja
- Softver
- Ponuda
- Potražnja
- iUređaji
- Ponuda
- Potražnja
- Usluge
- Ponuda
- Potražnja
Linkovi
O nama
Voćarna

Forum

Mac

Mac OS X

Rupa u sistemu

(1 korsinik/a gleda/ju temu) (1) Gost

Rupa u sistemu

surf
Korisnik

25.05.2004 | 09:44

Svima nama drag sistem u zadnje vrijeme cini se dosta supljikavim... taman sto je apple izbacio sekjuriti apdejt... cini se da ga nisu zakrpali kako spada... naime opet ranjivost (telnet -f, HelpViewer and Self URI Registering, Sherlock bugs, ...).. evo na negleskom clanka

In the same trend of the current URI exploits being researched (telnet -f, HelpViewer and Self URI Registering, Sherlock bugs, ...) I found Yet Another Remote Code Execution exploit.
Again, taking advantage of MacOS X's remote disk mouting to get the executable path, things are quite easy. It does not mean that it is required!

Adv: safari_0x06
Release Date: Private
Affected Products: MacOSX >= 10.3.3, Various Browsers, possibly others platforms/browsers
Fixed in: Not fixed.
Impact: Remote code execution.
Severity: High.
Vendors: Notified (23/02/04)
Author: Ova e-mail adresa je zaštićena od spam robota, nije vidljiva ako ste isključili JavaScript

So in a nutshell, ssh allows local command execution with the ProxyCommand option. Instead of executing a proxy application, we'll execute our own commands. Yes, it's that simple, and yes it's that powerfull. Note that you can also potentially forward remote ports using the -R flag and setting up a null-password account (ssh://ssh haxor.com -R port:localhostort).

URI's are all very dangerous, and the only solution that I see right now is asking for each non-standard URI (non-mail, http, and ftp for example) if the user wants to execute it, with the command name. This is very unfortunate because really cumbersome.

Tests on konqueror showed that this browser wasn't vulnerable as it skips commands arguments.
On Firefox/Epiphany/Mozilla I wasn't able to exploit it because of a bug in my gnome 2.6 handlers, otherwise it seems it would be possible.

So, as usual, a non-dangerous proof of concept demo is available

www.insecure.ws/article.php?story=200405222251133

Solution:
I suggest you trying Paranoid Android from Unsanity which does the job I described as a possible solution.

Odgovori Citiraj

Breed
Korisnik
40

26.05.2004 | 10:57

Štovani kolega Pantliče, osupnulo me Vaše otkriće i želio bih da provodim više vremena u Vašoj blizini, jer možda se i meni dogodi što i Vama.

Vaš odani kolega Brabec

(Don't panic, interna spika)

ROTFLMAO

40 Odgovori Citiraj

Forum

Mac

Mac OS X

Moderatori: Bertone

Stranica:
1

Vikalica™

Zadnja poruka: pred 6 sati, 9 minuta

smayoo: Pa zar još to nisi riješio?
smayoo:
mbp2009: Doslovno sam ju ja otvorio hahaha
smayoo: @mbp2009, imaš točno tu temu u forumu od prije par mjeseci
smayoo: Natrijeve baterije postoje u tzv. REDOX izvedbi već 30 godina, prvenstveno za stacionarne sustave, ali nisu bile pogodne za mobilne jer su bitno manje gustoće pohrane od litijevih, a i veće mase, jer su tekućinske. Velika im je prednost to što su ekološki neutralne, jednostavne za proizvesti i požarno nerizične.
m@xym: @Zdravac, OD otkrića nečega u laboratoriju do dolaska na tržište (ako se to upće dogodi) prođe između 5 i 10 godina
drlovric: O da. Jako veliko dan. Ljudi nisu svjesni bitnosti ali vrijeme ce polazati.
Zdravac: @drlovric, jesu, baš je lijepo danas pratiti HRT4 i live prijenos!
Zdravac: jel senzacionalizam ili ima nešto u ovoj tehnologiji da bi uskoro moglo i u praksu?
Zdravac: [link]
drlovric: Stigli Rafali ❤️????
mbp2009: Ekipa, treba mi preporuka za neki usb-c dongle za M1. Potreban je ulaz za SD karticu, HDMI ili DP (TB2), barem 2 Usb-a i ako je moguće jedan usb-c
smayoo: Funkcionalna zamjena je push notifikacija koja preko 5G ide po generičkom protokolu, samo aplikacija na mobitelu mora to podržavati
smayoo: Upozorili su me ljudi koji rade u toj branši, radi nekih telemetrijskih rješenja gdje nadzorni sustav SMSom šalje obavijesti korisniku
ZeljkoB: smayoo, odakle ti ova informacija za SMS?
smayoo: SMS poruke su phase-out. Znači, neki ih operateri više ne nude, niti omogućavaju njihovo slanje. Određen je neki krajnji rok, nakon kojeg više nijedan operater u EU nije dužan osigurati propagiranje SMS poruka. Probaj ručno promijeniti operatera (pretpostavljam da si u roamingu)
Matija klc: Ekipa, pomoc. Nalazim se u Rumunjskoj. Primam poruke normalno, no ne mogu poslati poruku. Pricam o obicnoj. Sve drugo radi najnormalnije. Sta napraviti?
MoschuS: Ma svugdje ali sve neka mala mjesta ili sela po Hr ili Slo
JOHN: Jesu to oni iz Imotski?
MoschuS: Ako netko kupuje rabljeno racunalo pripazite se prevaranata na Njuskalu i Bolhi. Otkrio sam ih par, slicni oglasi i kada ih kontaktirate salju iste/slicne racune i serijske brojeve kao potvrdu i onda odjednom obrisu oglas, naprave novi account i pokusavaju dalje uloviti nekoga.
Zdravac: Na kraju će ispasti da nas ima dosta koji vozimo motore!
rkrosl: prodao triumpha, kupio triumpha
JOHN: Honda CB650R
FiFi: Skoro sam ga jednom zamijenio za Bandita 1200 , ali sam ipak odustao.
Zdravac: ...ili Suzuki Bandit
Zdravac: E, taj motor je nekad bio moj san, da nije uletila yamaha, sigurno bih toga sad vozio
FiFi: Honda CB900F2 Hornet, 2002. Evo radim servis i nadam se registraciji prvi put nakon tri godine stajanje (djeca ti promijene raspored vožnje)
Riba: Problem je sto "sezona" u Irskoj trtaje tjedan dana. :-D Moram vidjeti ima li kakav nacin da ga registriram u Hr.
Zdravac: @ZeljkoB Odličan motor, takvi motori su baš po mom guštu! Lijep i ugodan za voziti.
Zdravac: @Riba Pa što čekaš, daj, zamjeni ulje, filtere i svječice, napuni bateriju, i lagano pranje. To će biti dovoljno, siguran sam!
Zdravac: Ajd, super, nisam jedini! Sad ide sezona, i gušt! Polako plan za moto trip na more...
ZeljkoB: Honda NC750X, ali sve manje vremena imam za voznje.....
Riba: Imam ja BMW 650CS, mozda ga reaktiviram nakon 10 godina stajanja u garazi. A imam i Vespu iz 1959, ta malo duze stoji.
Zdravac: Evo, ja ću prvi: YAMAHA XJ900 S Diversion, classic iz 1998., ide ko švicarski sat, čista mehanika, pouzdano do bola!
Zdravac: Jel imamo ovdje kolega ili kolegica, da voze motor? Ako da, koji?
zoranowsky: @air, u biti isti je pricnip, samo si sam sebi target
Air: Polako, polaku, kuda žurba, daj mi prvo link na to kako pročitati vlastite misli
smayoo: Za one koji ne znaju čitati misli - [link]
Borisone: Za one koji ne znaju čitati misli, koja je konfiguracija?
VanjusOS: pozdrav, treba li netko Mac mini M2, nekorišteno?
kupus: Ima takvih naravno. Iz mog skromnog iskustva takvi su u manjini.
smayoo: većina online trgovaca odbija slati na poste restante pa čak i na poštanski pretinac
kupus: zasto na osobnu adresu*
kupus: Zasto na adresu? Naruci na adresu postanskog ureda, tamo ce te cekat
drlovric: Imamo li koga iz Zupanje na forumu da bih mogao naruciti paket na njegovu adresu?
ecvis17: ok, tnx
smayoo: Piši u forum
ecvis17: pozdrav svima, imam stari MBP koji maksimalno moze voziti BigSur ... malo nisam vise u toku, gdje se danas mogu pronaci Combo installeri? Tnx
cariblanco: Čekao je da Hajduk osvoji prvenstvo i na kraju je odustao
Yonkis: Od sada ćemo mjeriti vrijeme pre-JM and post-JM time