Windows users with iTunes beware! Apple has opted you in to install their vulnerable Safari browser on your computer with iTunes updates. You must click the Safari update box off before updating iTunes if you don’t want to install Safari.

iTunes를 사용하시는 Windows 사용자분들께서는 조심하십시오! Apple은 iTunes업데이트에 보안에 문제가 있는 Safari를 끼워넣었습니다. iTunes를 업데이트 하실 때 Safari를 원하지 않으신다면 체크를 해제하시기 바랍니다.

PWN to OWN Day Two: First Winner Emerges!:
PWN to OWN 2번째날 : 첫번째 승자가 나타났습니다.:

They were able to exploit a brand new 0day vulnerability in Apple’s Safari web browser. Coincidentally, Apple has just started to ship Safari to some Windows machines, with its iTunes update service. The vulnerability has been acquired by the Zero Day Initiative, and has been responsibly disclosed to Apple who is now working on the issue.

그들은 Safari의 새로운 0day 보안 문제점을 exploit하였습니다. 우연히도 Apple에서는 iTunes 업데이트를 통해서 윈도우즈에도 Safari를 설치하기 시작했습니다.  Zero Day Initiative 에게 전달된 이 보안상의 문제는 Apple 에게 보내졌고 현재 작업중에 있습니다.


So if you update iTunes and install Safari, you’re getting this exploitable code on your computer.
그러므로 만약 iTune를 업데이트 하면서 Safari를 설치하신다면 컴퓨터에는 문제가 있는 코드가 설치되게 됩니다.

I may have more information about the nature of the exploit tomorrow. :-)
내일 이 이야기에 대해서 더 해드리겠습니다.:-)

EDIT/UPDATES:
편집 / 추가

  1. The exploit Charlie Miller used to win the coveted Macbook Err involved a telnet exploit via privilege escalation from a malformed/malicious link. Reportedly. We’ll find out when Apple gets around to fixing it. Which brings me to another point…
    Charlie Miller가 MacBook Err(Air)을 뚫을 때 악의적인 링크로 부터 권한 상승을 얻어내는 방법을 이용하였습니다. 소문에 의하면 말이죠. 우리는 Apple이 언제 그 문제를 수정할지 곧 알게 될 것 입니다(?). (?)
  2. Before anyone dismisses my objections to Apple’s requirement that users opt-out of installing Safari when updating iTunes, look at Secunia’s new advisory. Note that it’s highly critical. Safari is buggy and vulnerable in OSX. It’s even worse in Windows.
    Apple의 Safari 끼워 넣기에 반대하는 나의 생각을 잊은분들은 Secunia의 새 소식을 보기 바랍니다.(?) 이것은 아주 심각하다는것을 명심해주세요. 사파리는 버그가 많으며 OSX에서 보안상 취약한 점을 가지고 있습니다. 그리고 윈도우에서는 더욱 심각합니다.


원본 사이트 : http://lucky13linux.wordpress.com/2008/03/27/pwn2own-confirmation-0day-in-safari/

Posted by Parker Falcon

댓글을 달아주세요

  1. 2008.03.29 18:21 신고
    댓글 주소 수정/삭제 댓글
    제대로 번역하지 못하였습니다. 혹시나 고쳐야 될 점 보이시면 (특히 (?) 로 된 부분) 어떻게 고칠지 알려주시면 감사하겠습니다 :)

me2day.net에 들어가면 오른쪽 위에 로그인 창이 있습니다.
그리고 세션 유지등을 위한 확인용 체크 박스가 있는데
아무생각 없이 읽었는데 문구가 이렇더군요.
이 Mac에서 항상 로그인?!

이 Mac에서 항상 로그인?!

유저의 정보를 알아 내는 방법이 없는 것은 아니니 매우 신기한 것은 아니었지만,
그래도 이렇게 조그마한데서 신경(?) 써준 다는 것이 고맙기도 하고,
얼마나 많은 User-agent를 인식 하는지도 궁금하였습니다.

설정 in OnyX

OnyX등에서 설정 하실 수 있습니다.


고로 Debug 메뉴의 힘으로 간단하게 User agent를 변경하였습니다.

사용자 삽입 이미지

Debug 기능중 하나 입니다.


사실은 윈도우 인식은 예상했던 터라 (Mac인식 하면 윈도우는 알아서 인식하겠지) 바로 Mobile Safari(아마 iPod Touch와 iPhone?)로 실험 하였습니다.

기대는 안했지만 결과는 역시

이 PC에서 항상 로그인

뭐 PC & Mac 하는 것만 해도 대단 합니다.


기타 몇가지 시도 해 보았지만


Safari 2.0.4 : Mac
Mobile Safari 1.0 : PC
Firefox 2.0.0.2 : Mac
Firefox 1.0.3 : Mac
Mozilla 1.7.7 : Mac
Netscape 7.2 : Mac
Netscape 6.2.3 : Mac
Netscape 4.97 : Mac
Mac MSIE 5.23 : PC
Windows MSIE 6.0 : PC
Konqueror 3.4 : PC
일부 안맞는 부분이 있기는 하지만, Internet Explorer이면 PC로, 그렇지 않으면 접속 환경을 생각해서 PC/Mac을 구분 하는게 아닐까 생각해보았습니다. 아 어쩌면 Safari 의 Debug기능이 제대로 작동하지 않은 것일수도 있구요.

Opera에서 더 다양한 실험을 해보고 싶었지만 그것은 정말 시간이 남을 때 해보겠습니다.
Posted by Parker Falcon

댓글을 달아주세요