lunes, 28 de enero de 2008

Knowledge Base - Problemas en la instalación de la version de MAC de Office


Se han descubierto algunos problemas relacionados con la instalación de Office 2008 para los que Microsoft ya ha prometido una solución.

Dichos problemas no provocan ningún daño en los datos y tampoco impiden el correcto funcionamiento de las aplicaciones de la suite.

Primer problema: UID 502

Los problemas de instalación de Office 2008 han sido detectados por el usuario de Mac Joel Bruner, quien ha publicado ambos problemas en su blog. El primer problema está relacionado con el propietario del archivo, y requiere de algunos conocimientos básicos de las cuentas de usuario y las instalaciones en Mac OS X.

Cada cuenta de usuario en el Mac tiene asociado un número de identificación de usuario (UID); el Mac OS X utiliza dichos UID en vez de los nombres de cuenta de usuario para realizar un seguimiento sobre qué usuarios pueden acceder a determinados archivos y realizar determinadas acciones. La segunda cuenta creada obtiene un UID de 502 independientemente del estado de la cuenta (administrador, estándar, gestionada). El tercer usuario obtiene el UID 503, y así sucesivamente.

Normalmente, cuando se instala software utilizando la utilidad Instalador de Apple, el propietario de cada uno de los archivos instalados es del sistema o de una cuenta específica de usuario en función de cómo haya sido determinado por el desarrollador encargado de diseñar el paquete de instalación, o por la cuenta de usuario que esté realizando la instalación.

Sin embargo, tal y como ha indicado Bruner en la entrada de su blog, la instalación de Office 2008 no hace ninguna de estas cosas. En vez de ello, el paquete de instalación instala prácticamente todos sus archivos (y las respectivas carpetas que los contiene) con el atributo de propietario definido con el ID de usuario 502. Esto ocurre independientemente de cuál sea la cuenta de usuario que esté ejecutando el instalador, e independientemente del estado administrativo del UID 502.

Si el UID 502 es una cuenta con privilegios de administración en tu Mac, entonces es bastante probable que esto no represente un problema, dado que presumiblemente se ha dado a dicha cuenta el estado de administrador por algún motivo. Sin embargo, si se configura una segunda cuenta en el Mac sin privilegios de administración, dicha cuenta terminará con privilegios totales sobre los componentes de Office y, por tanto, con la capacidad par borrar o modificar el contenido de las carpetas /Library/Fonts/Microsoft, /Library/Application Support/Microsoft, y /Applications/Microsoft Office 2008. (La instalación para la versión Special Edition de Office 2008 también crea la carpeta /Library/Automator en el caso de que no exista aún, proporcionando el UID 502 como propietario de dicha carpeta). Por ejemplo, el usuario puede sustituir un archivo legítimo con algún otro o incluso hacer que dicho archivo sea un ejecutable.

De igual modo, si has configurado la segunda cuenta de usuario en tu Mac como una cuenta sin privilegios de administración para tu propio uso diario, por ejemplo para prevenir el borrado accidental de archivos, entonces dicha cuenta "segura" obtendría los privilegios para borrar o bien modificar la instalación de Office 2008.

Muchos usuarios no son conscientes de dicha situación pese a que introduce potenciales problemas de seguridad, dado que puede proporcionar a un usuario sin derechos de administración la capacidad para modificar archivos que, normalmente, sólo deberían ser accesibles por los usuarios con privilegios de administración.

Ten en cuenta que el UID 502 será utilizado como el propietario de los archivos de Office 2008 incluso en el caso de que no se haya creado una segunda cuenta de usuario sobre el equipo, lo que significa que los archivos de Office serán propiedad de un usuario que no existe. Este es el mejor de los escenarios posibles dado que un usuario que no existe no puede modificar los archivos.

Segundo problema: ¡Ejecuta!

Bruner también ha descubierto un segundo problema: cada archivo en la instalación de Office 2008 es un ejecutable. Esto significa que los archivos, incluso los clip-art y los archivos de ayuda, son vistos por el OS X como "programas" y, si un archivo en concreto tiene código ejecutable, entonces puede ser ejecutado.

Este problema no debería afectar el uso normal de Office 2008, pero los expertos en seguridad
prefieren no contar con innecesarios miles de archivos de soporte ejecutables almacenados en el disco duro. Dicha situación no es necesariamente problemática, pero abre las vías a posibles brechas de seguridad.

Por ejemplo, si se descubre una vulnerabilidad de seguridad en uno de los más de 42.000 archivos instalados por Office 2008, entonces dicha vulnerabilidad podría ser explotada con mayor facilidad si se trata de un archivo ejecutable. Los únicos archivos de Office 2008 que requieren ser ejecutables son los programas propiamente dichos.
¿Qué se puede hacer?

Si bien Office 2008 es el primer producto principal de Microsoft que utiliza el sistema de Instalador de Apple, los expertos de seguridad se han mostrado sorprendidos por estos errores. "No es bueno al tiempo que es una clara violación de los estándares de Microsoft", indica el analista Rich Mogull, quien escribe sobre problemas de seguridad para Securosis y TidBITS así como para Macworld. "Esto no debería de haber ocurrido teniendo en cuenta lo rígido que es el Ciclo de Seguridad en el Desarrollo [de Microsoft]. Al permitir que un usuario sin privilegios pueda cambiar potencialmente archivos a lo largo y ancho del sistema, podría dar pie a que un atacante cruzase los límites y ejecutase código en el contexto de otro usuario".

Mogull indica, sin embargo, que las implicaciones de seguridad son, por ahora, más teóricas que inmediatas: "La combinación de ambos problemas es problemática, pero se trata de uno de esos problemas que deben salir a la luz, si bien no hay por qué tener pánico".

Por su parte, Microsoft se ha puesto [a trabajar] con seriedad sobre los dos problemas, indica Geoff Price, director de la unidad de producto para la Unidad de Negocio Macintosh de la compañía.

"El equipo de la Mac BU es consciente de las informaciones relacionadas con la instalación de Office 2008 sobre una carpeta que, potencialmente, pueda permitir acceder a archivos del programa a un usuario local sin privilegios de administración", indica Price. "Este problema sólo debería afectar a los equipos que tengan activa un segunda cuenta de usuario local. Otros escenarios no deberían de verse afectados."

Microsoft también reconoce el segundo problema. La compañía está proporcionando una actualización gratuita que resuelve ambos problemas. Adicionalmente, las futuras duplicaciones el disco de instalación de Office 2008 incluirá una actualización del paquete de instalación que instalará los archivos con los atributos adecuados.

Mientras tanto, Price ha proporcionado la siguiente solución para el problema relacionado con el propietario de los archivos:


1. Mientras se esté conectado con una cuenta con privilegios de administración, escribe el siguiente comando, como una sola línea, y pulsa la tecla retorno: sudo chmod -R a-st "/Applications/Microsoft Office 2008" "/Library/Fonts/Microsoft" "/Library/Application Support/Microsoft" "/Library/Automator" (Si no tienes la versión Special Media Edition de Office 2008, omite "/Library/Automator".)

2. Introduce la contraseña de la cuenta cuando se solicite.

3. Escribe el siguiente comando, como una sola línea, y pulsa la tecla Retorno: sudo chown -h -R root:admin "/Applications/Microsoft Office 2008" "/Library/Fonts/Microsoft" "/Library/Application Support/Microsoft" "/Library/Automator" (Si no tienes la versión Special Media Edition de Office 2008, omite "/Library/Automator".)

4. Introduce la contraseña de la cuenta cuando se solicite.


Este procedimiento asigna correctamente el propietario a todos los componentes de Office 2008 instalados en el sistema. Desafortunadamente, no existe una solución sencilla para todos los archivos ejecutables de Office 2008. Dado que algunos de dichos archivos deben ser ejecutables, no es posible modificar todos los archivos de una vez. Los usuarios deberán de esperar por la actualización de Microsoft encargada de solucionar este problema.

Knowledge Base

0 comentarios:

My Tweets

Protegelas.com