Terrible Mac OS X Java vulnerability issue

CVE-2008-5353 allows malicious code to escape the Java sandbox and run arbitrary commands with the permissions of the executing user. This may result in untrusted Java applets executing arbitrary code merely by visiting a web page hosting the applet. The issue is trivially exploitable.

Unfortunately, these vulnerabilities remain in Apple’s shipping JVMs, as well as Soylatte 1.0.3. As Soylatte does not provide browser plugins, the impact of the vulnerability is reduced. The recent release of OpenJDK6/Mac OS X is not affected by CVE-2008-5353.

OSX Java security hole: CVE-2008-5353

Do you want to test your up-to-date Mac OSX installation? Just click here, and enjoy “/usr/bin/say I am executing an innocuous user process” instead of “/bin/rm -rf …”

Links:
CVE-2008-5353
CR0 BLOG: Write once, own everyone, Java deserialization issues
Landon Fuller: Critical Mac OS X Java Vulnerabilities

innBox – security platform

Szükségét éreztük egy saját security platform elkészítésének – ennek eredményeként született meg az innBox… Ez egy Linux alapú, wxWidgets UI-val rendelkező, saját adatbázis és audio-video-text-networking I/O-val bíró szerkezet lett, amely véleményem szerint ekkor megelőzte a korát…

Werdy mester kódolta a wx-es GUI-t, Victor csinálta a speciális kamerát, a többiek meg gyártották szépen a daemon-okat.

Az innBox egy önálló security-platform, amely adatbiztonság-kritikus környezetek számára lett kifejlesztve. Ipari szabványokra és nyílt forráskódú alapokra épül, sebesség és biztonság kritikus megvalósításban.

A rendszer egy zárt „fekete doboz”, amely garantálja az innBox modulokon keresztül gyűjtött (rögzített és mért) adatok integritását, az adatok felvételezésének megkezdésétől a központi adattárba juttatásig. Ez magába foglalja az adatbeviteli eszközökről a rendszerbe juttatott információkat, az alacsony szintű input kezelését, a grafikus rendszer input widget-jeit, az átmeneti tárolást és a kliens-szerver kommunikációt is.

innbox_login_ujjlenyomat

Az innBox platform minden biztonság-kritikus eleme saját fejlesztés. A működést biztosító modulok ellenőrizhető módon, folyamatosan egy authentikált rendszerben kommunikálnak, egy super-szerver ellenőrzése alatt.

Az innBox rendszer alkotó elemei – a daemon-ok – IPv4 socket alapú kommunikációt használnak, így elvileg bármely összetevő kiemelhető, illetve megosztható más innBox gépek számára is. A gépen kívüli kommunikációt minden esetben a COPng rendszer védi, amely egy SSL alapú, X.509 tanúsítványokkal dolgozó titkosító és szabványos tömörítő eljárásokat biztosító rendszer.

A kommunikációhoz az iparban jelenleg elérhető és általánosan használt média alkalmazható, daemon szinten támogatott az ISDN, ADSL, GPRS, EDGE és WLAN mint távoli hálózati kapcsolat. Továbbá természetesen az Ethernet, Firewire és Fibre Channel csatolás, mint helyi hálózati kapcsolat.

A grafikus keretprogram, amely jelenlegi verziójában a nyílt forráskódú, multiplatform (Windows, Linux, MacOS, stb.) wxWidgets rendszerre épül a daemon-okhoz hasonlóan kiemelhető a rendszerből, a megfelelő futtató környezet definiálása és biztosítása esetén.

Az innBox egy saját fejlesztésű, X11-re vagy FrameBuffer-re épülő felhasználói felületet kapott. Ez a Desktop (munkaasztal) szoros kapcsolatban van a rendszer többi összetevőjével, működése a folyamatos belső biztonsági ellenőrzéshez kötött.

A felhasználók authentikációját biztosító modul is ezen a Desktop-on jelenik meg, a sikeres azonosítás után megjelenő kiegészítő készlet az adott felhasználóhoz tartozik.

1) WEB böngésző – Beágyazott, biztonságra optimalizált Mozilla alapú, JAVA futtató környezetet is tartalmazó böngésző, a Destop-ba integrálva. Több ablakos műveleteket nem támogat, minden helyi file-művelet tiltva van.
2) Windows Terminal Server kliens – A Microsoft Windows Terminal Server funkciójának eléréséhez került be ez a modul az innBox-ba. Rajta keresztül bármely Windows szerverhez csatlakozhat a felhasználó, dolgozhat a Windows munkaasztalán, futtathat Windows-ra írt programokat.
3) VNC kliens – A Virtual Network Computing protokollal kapcsolódhat az innBox gépen dolgozó bármely VNC szerverhez. Hasonlóan a Terminal Server megoldáshoz, itt is a távoli gép munkaasztalát jeleníti meg az innBox-on belül, operációs rendszertől függetlenül.
4) GPS pozíció megjelenítő – A beépített GPS modul adatait a GPS daemon-on keresztül megjeleníti a Desktop-on. Ezen funkció főleg mozgó munkaállomásoknál lehet adminisztrációs szempontból használható és fontos.
5) GSM térerő adat megjelenítő – A beépített GSM eszköz, a benne működő SIMM kártya és a szolgáltató hálózatának állapotát jelzi vissza a felhasználó számára.

innbox_RemoteDesktopClient

Az adatgyűjtéshez felületet biztosító Grafikus keretprogram egy nyílt forráskódú alapokra épülő, de saját fejlesztésű input és output kezelőkkel (widget-ek) ellátott környezetben a wxWidgets rendszer használva készült el. Az adatbevitelhez használt mezőket szinte kivétel nélkül – az illegális (külső) adat betöltés és adat kinyerés elkerülése végett – újra programoztuk, saját belső puffer túlcsordulás, és adat-átirányítás elleni védelemmel láttuk el. A kialakítandó adatgyűjtő felületek a komplex osztályok (C++ class) felhasználásával építhetők fel.

Az innBox platform a kiépített rendszerek üzemeltetésének támogatására saját távadminisztrációs és program verzió frissítési megoldással rendelkezik. A frissítés lehet periodikus, automatikus, illetve a szerver oldalról kezdeményezhető is.

Concept: innBox as testbed

innBox presentation