Ejecución remota de scripts en Mac OS X a través del navegador Safari

Noticias relacionadas

Las aplicaciones del RFID estarán en poco tiempo en todos los productos que compremos
10 Jun 2004
Amenazas en la red
09 Jun 2004
Apple dice que existe una brecha en la seguridad de OS X
22 May 2004

Otras noticias

Más noticias

En el foro

Ir al foro de Seguridad

VULNERABILIDADES

Ejecución remota de scripts en Mac OS X a través del navegador Safari

Se ha descubierto una vulnerabilidad en el navegador Safari de Mac OS X que podría ser aprovechada potencialmente por sitios web maliciosos para comprometer un sistema afectado. El problema se debe a que el procesador de URIs de ayuda permiten la ejecución de scripts arbitrarios locales (.scpt) mediante la utilización de "help:runscript" y secuencias de escalada de directorio clásicas. Gracias a ello, es posible subir archivos arbitrarios en una posición conocida al usuario que descargue un archivo ".dmg" (imagen de disco).

19 May 2004 | HISPASEC

^E
sto ocurrirá si el navegador Safari ha sido configurado para abrir archivos antes de bajarlos si se consideran seguros, comportamiento que viene por defecto en dicho navegador. Este problema ha sido confirmado en Mac OS X con Sarafi 1.2.1 (v125.1) e Internet Explorer 5.2.

Ante la falta de parches de actualización para este problema, se
recomienda como medidas generales no navegar por Internet con un usuario de privilegios altos, y cambiar el nombre del controlador de URIs de ayuda. Para los usuarios de Safari, se recomienda desactivar la opción 'Open "safe" files after download', localizado en la siguiente zona: 'Safari -> Preferences -> General'.

Más Información:

Apple Safari 'runscript' Function Lets Remote Users Execute Code
http://www.securitytracker.com/alerts/2004/May/1010167.html; Lee opiniones sobre Software de seguridad.
Boletín: Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios

LaFlecha.net no se hace responsable del contenido de los comentarios publicados.

#1 | 19 May 2004, 09:40

nikilauda (abordaje.net)

Están ustedes en un error. No es un problema de Safari, es de Mac OSX.

Yo corro Mozilla en OSX 10.2 y también estaba expuesto.

La solución es reasignar un programa a la rutina "help" que no sea el helpviewer.

Un saludo.

#2 | 22 May 2004, 17:30

555555555555

6t8c6tcrrrrr8666666666666666666666666666

Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario

BBCode (Ayuda): [b], [i], [quote], [code]

Publicidad

Ahora en LaFlecha puedes encontrar cursos y másters

usuario
clave