macOS LaunchServices拒绝服务

站得住脚的LaunchServices框架中发现了一个可能的漏洞——尤其是“迷幻药”服务。脆弱性是一个当地的拒绝服务。我们已经验证了这个漏洞存在macOS当时的最新版本提交。此服务用于确定不同的行为在一个给定的发射文件或应用程序。例如,文件扩展名关联。

简而言之,这并不表示有大小限制LSDatabase结构应用于条目。这个结构存储在磁盘上,加载到内存中,并自动更新适用文件/结构达到磁盘(比如从网络下载,复制,等等),这可能导致主机上的资源枯竭以及lsd服务的崩溃。

作为一个示例场景复制这种行为:

• 通过XCode创建和构建示例的可可应用程序
  • 应用程序不需要任何实现的功能。的目的是创建一个适当的应用程序结构
• 构建和定位样例应用程序
• 在信息。plist(<应用名称> .app /内容/ Info.plist),确保有迷幻药利用的数据。对于这个示例,我们将使用CFBundleURLSchemes。Info.plist看到下面的一个例子:

< ?xml version = " 1.0 " encoding = " utf - 8 " ? >
< !DOCTYPE plist公共”——/ /苹果/ / DTD plist 1.0 / / EN " " http://www.apple.com/DTDs/PropertyList-1.0.dtd " >
< plist version = " 1.0 " >
< dict >
<键> BuildMachineOSBuild < /关键>
18 a391 <字符串> < /字符串>
<键> CFBundleDevelopmentRegion < /关键>
<字符串>在< /字符串>
<键> CFBundleExecutable < /关键>
<字符串> test_app < /字符串>
<键> CFBundleIdentifier < /关键>
<字符串> com.jimi.test-app < /字符串>
<键> CFBundleInfoDictionaryVersion < /关键>
6.0 <字符串> < /字符串>
<键> CFBundleName < /关键>
<字符串> test_app < /字符串>
<键> CFBundlePackageType < /关键>
<字符串>:< /字符串>
<键> CFBundleShortVersionString < /关键>
1.0 <字符串> < /字符串>
<键> CFBundleSupportedPlatforms < /关键>
<数组>
<字符串> MacOSX < /字符串>
< /数组>
<键> CFBundleURLTypes < /关键>
<数组>
< dict >
<键> CFBundleURLName < /关键>
<字符串> com.foo.bar.dinobytes < /字符串>
<键> CFBundleURLSchemes < /关键>
<数组>
<数据>
this_is_a_test_URL_scheme
< /数据>
< /数组>
< / dict >
< /数组>
<键> CFBundleVersion < /关键>
<字符串> 1 > < /字符串
<键> DTCompiler < /关键>
<字符串> com.apple.compilers.llvm.clang.1_0 < /字符串>
<键> DTPlatformBuild < /关键>
<字符串> 10 b61 < /字符串>
<键> DTPlatformVersion < /关键>
<字符串>通用字符串< / >
<键> DTSDKBuild < /关键>
18 b71 <字符串> < /字符串>
<键> DTSDKName < /关键>
<字符串> macosx10.14 < /字符串>
<键> DTXcode < /关键>
<字符串> 1010 < /字符串>
<键> DTXcodeBuild < /关键>
<字符串> 10 b61 < /字符串>
<键> LSMinimumSystemVersion < /关键>
10.14 <字符串> < /字符串>
<键> NSHumanReadableCopyright < /关键>
<字符串>版权©2019年詹姆斯Sebree。保留所有权利。< /字符串>
<键> NSMainStoryboardFile < /关键>
主要<字符串> < /字符串>
<键> NSPrincipalClass < /关键>
<字符串> NSApplication < /字符串>
< / dict >
< / plist >

• 修改这个文件(“this_is_a_test_URL_scheme”的价值,特别是在这种情况下,尽管其他领域也引起这个问题)是过分大(超过一个演出)
• 复制和粘贴整个应用程序文件夹来触发这个问题。这可以触发在许多不同的方式,但对于概念的目的,复制粘贴就足够了。

一旦完成粘贴,lsd将开始处理应用。它将复制信息。plist到内存中,随后这个过分大的值存储在内存和存储LSDatabase中的值。访问这个值,将新值存储在内存中,或者只是定期检查在这个服务足以导致段错误和崩溃的服务,导致launchd lsd的生成一个新的实例。一次加载到内存数据库。随着时间的推移,这可以通过使用所有可用的内存,排气系统资源,导致交换空间增长足以导致系统的分配存储。这种行为持续通过重新启动数据库是存储在磁盘上,lsd是在启动时启动。

除此之外的拒绝服务影响主机,站得住脚的不知道这攻击向量可能允许任何进一步的影响。由于数据库lsd使用似乎是可以从用户空间和由于缺乏规模限制,有可能为一个专门的攻击者滥用这个功能作为恶意软件或其他攻击的持久性机制,但是会有一些其他攻击向量为了使用此功能。

苹果已经有争议的这是一个安全漏洞,因为他们认为这是一个简单的资源耗尽的情况下。而站得住脚的研究人员都同意这是一个最低严重性和较轻的问题,我们认为,这一问题带来了安全风险,即使最小的,可以通过添加某种固定简单上界LSDatabase条目或其他类似减排防止资源枯竭。