Más problemas de seguridad en OS X

Parece que no dejamos de tener problemillas de seguridad.


Esta vez leo en MacNN que, programas que se ejecutan como usuario root, pueden aceptar comandos AppleScript que se ejecutarían con todos los privilegios aunque el usuario no tenga dichos privilegios. Hablando claro: se le puede pasar a una aplicación COCOA un comando como root aunque el usuario logueado en el sistema no lo sea.

Por ejemplo:

osascript -e ‘tell application “ARDAgent” to do shell script “whoami”‘

El problema se arregla si ejecutas esto desde el terminal:

sudo chmod 755
/System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent

Pero parece ser que el problema vuelve a presentarse si reparas permisos.

Por:Appleweblog