MFSA-2014-90 - Az Apple CoreGraphics keretrendszer OS X 10.10-en a /tmp-be logolja a bevitt adatokat

 ( trey | 2014. december 7., vasárnap - 10:18 )

A Mozilla Foundation MFSA-2014-90 biztonsági figyelmeztetője elsősorban az OS X 10.10-es (kódnevén "Yosemite") kiadásán Mozilla termékeket (Firefox, Thunderbird) futtatók számára lehet érdekes, de más gyártók alkalmazásai is érintettek lehetnek.

Kent Howard biztonsági szakember fedezte fel és jelentette be, hogy biztonsági kockázata lehet annak, hogy az OS X 10.10 CoreGraphics keretrendszere a /tmp-be logol. Az Apple az OS X 10.10-ben kapcsolta be alapértelmezetten ezt a logolást egyes olyan alkalmazásokra, amelyek custom memória allokátort (pl. jemalloc) használnak.

A biztonsági/privacy probléma abban merül ki, hogy az említett logfájlok tartalmaznak minden olyan adatot, amelyet a felhasználó bevitt a Mozilla alkalmazások használata során. Ez a probléma nem érinti a 10.10-nél korábbi verziójú OS X felhasználókat. A 10.10 felhasználóknak a /tmp-ben esetlegesen megtalálható, "CGLog_"-gal kezdődő fájlnevű fájlokra kell odafigyelniük. A Mozilla a Firefox 34, Firefox ESR 31.3 és Thunderbird 31.3 termékekben javította a problémát.

További részletek a bejelentésben.