Occhio all'installer | kOoLiNuS ☞ il blog

Riprendo il titolo del post di Nezmar {che vi consiglio di leggere in caso non lo aveste fatto} che puntava l’indice contro un problema piuttosto serio della procedura di installazione dei pacchetti in Apple OS X:

In Mac OS X un installer software con estensione .pkg, lanciato da un utente Admin può andare a toccare file del sistema che appartengono all’utente root senza che venga chiesta alcuna password.

Ebbene, lo stesso losco individuo ( ) mi fa notare che al problema dovrebbe essere stata applicata una pezza nel recente aggiornamento di sicurezza dello 28 novembre:

* Installer

CVE-ID: CVE-2006-4404

Available for: Mac OS X v10.3.9, Mac OS X Server v10.3.9, Mac OS X v10.4.8, Mac OS X Server v10.4.8

Impact: When installing software as an Admin user, system privileges may be used without explicit authorization

Description: Admin users are normally required to authenticate before executing commands with system privileges. However, the Installer allows system privileges to be used by Admin users when installing certain packages without requiring authentication. This update addresses the issue by requiring authentication before installing software with system privileges.

http://www.pseudotecnico.org/blog PseudoTecnico

Sarà un caso ma l’installazione dell’ultima build di Parallels (beta 3036) mi ha chiesto la password dell’amministratore (cosa che prima non faceva).
http://www.nezmar.com Losco Individuo

Pseudo Tecnico: non è un caso. Nel testo (del sottoscritto) a cui culinus ha messo il link puoi leggere “Il problema viene dall’uso della chiave AdminAuthorization nell’installer [...] uso della tecnica da parte dell’installazione del software di virtualizzazione Parallels”

Nicola: restano aggiustare ancora un paio di cosette tra cui il codice nei .DMG che causano kernel panic.

Autori: kOoLiNuS