Před pár dny proběhla světem zpráva o novém programu WorldWide Telescope z dílny Microsoftu, který je z části konkurencí k produktu Google Sky. Oba produkty si kladou za cíl seznámit nás s nekonečným vesmírným prostorem, který obklopuje naši Zemi a zprostředkovat nám fascinující pohled do nitra" kosmu.
Až potud by bylo všechno v pořádku, kdybych čirou náhodou nenašel v instalátoru aplikace WorldWide Telescope potenciálně zneužitelnou chybu…
Když včera vyšla na Žive.cz zpráva o dalekohledu" z dílny Microsoftu, rozhodl jsem se si program vyzkoušet. Přešel jsem tedy na domovskou stránku programu – http://www.worldwidetelescope.org/ – a stáhl si instalační balíček mající velikost lehce přesahující 20MB. Spustil jsem instalaci a nestačil jsem se divit – zahájila se instalace prostředí Cygwin (tj. jakési minidistribuce Linuxu fungující v prostředí Windows a umožnující přístup k některým Linuxovým programům).
OK, řekl jsem si a Cygwin nainstaloval s tím, že možná Microsoft WorldWide Telescope od někoho odkoupil a ten tak ke svému běhu Cygwin potřebuje. K mému překvapení se ale po instalaci prostředí Cygwin nedělo nic a po dalekohledu" nebylo v mém počítači ani památky – zato jsem si mohl spustit Linuxový příkazový řádek Bash :).
Nedalo mi to a v podezření na hacknutý web jsem si instalátor stáhl večer znovu – tentokráte přímo na plochu. Soubor byl naprosto identický, ale po jeho spuštění se zahájila instalace toho, co jsem čekal, tedy programu WorldWide Telescope. Tehdy mi to začalo docházet.
Instalátor je zabalen v samorozbalovacím WinZip archivu (poměrně překvapivé – nevím proč MS neposkytne přímo daný .exe, nebo .msi balíček), z nějž se po rozbalení spouští instalace. Jelikož mám pro stahování vyhrazenu jednu složku na disku, tak mám samozřejmě v této složce celkem dost instalátorů různých aplikací – mezi nimi právě i Cygwin. Instalátor WorldWide Telescope, reprezentovaný souborem setupwwt.exe, ale po spuštění spustil instalaci Cygwin reprezentovanou souborem setup.exe.
Schválně jsem si to otestoval v samostatné složce a je tomu skutečně tak – instalátor setupwwt.exe po svém spuštění zahájí instalaci jakéhokoliv souboru, který pojmenujete setup.exe – podívejte se na přiložené screenshoty:
Běžná složka s instalačními soubory aplikací
Instalátor WWTSetup.msi je zabalen v samorozbalovacím archivu
Spouští se instalace programu WorldWide Telescope
A teď ještě jednou… :)
Instalátor FAR Manageru přejmenujeme na setup.exe…
…a WorldWide Telescope jej za nás spustí ;)
Zajisté si dovedete představit, že tento způsob instalace představuje bezpečnostní riziko. Stačí do složky s instalátorem programu WorldWide Telescope podstrčit jakýkoliv spustitelný soubor reprezentovaný programem setup.exe a WorldWide Telescope jej za vás spustí. Obejít tak lze i zabezpečení Windows Vista, neboť s důvěrou odsouhlasíte UAC dialog pro program, který si chcete nainstalovat, ale tento – již s administrátorskými právy – následně spustí cizí soubor setup.exe, který může obsahovat cokoliv. Při troše nepozornosti tak máte na svém počítači o zábavu postaráno".
PS: Chybu se samozřejmě budu snažit reportovat přímo Microsoftu.
PS2: Chybu jsem reportoval Karlovi Florianovi z českého TechnetBlogu, který přímo na stránkách programu nalezl informaci o tom, že chyba je již dokumentována. Kdy (a zda) bude opravena je však zatím doslova ve hvězdách ;).
Tyjo, dobrá práce…já bych na to asi nepřišel :) Zrovna včera jsem měl v plánu teleskop taky zkusit, ale nějak jsem se k tomu nedostal. Vzhledem k tomu, že taky stahuju vše jen do jedné složky, tak bych řekl, že tam určitě nějaký setup.exe bude taky. Kdoví co bych si s tím teleskopem nainstaloval :)Nicméně takovou \“lame\“ chybu bych od Microsoftu opravdu nečekal :-/
DíkyDíky za pochvalu, ale je fakt, že jsem na to narazil celkem náhodou, akorát jsem byl možná jedním z mála těch, kterým se to stalo a pátrali po příčině, proč se jim místo jedné instalace spouští jiná :).Já si tak třeba alespoň nainstaloval Cygwin – co se mi už dlouho \“válel\“ v download složce :).Je ale fakt, že to může uživatele dost zmást a při troše nepozornosti vést k něčemu horšímu, než instalaci jiného programu, který si většinou uživatel stejně stáhl.Dovedu si ale představit, že si nepozornou přeinstalací jiného programu např. smaže jeho nastavení a kdesi na fóru jsem četl, že to někomu chtělo odinstalovat Virtual PC – WWT zjevně spustil jeho instalátor, ten zjistil, že je VPC nainstalován a tak nabídl odinstalaci ;).Pokud by se ale za setup.exe skrýval vir, nebo jiný mallware a díky WWT se spustil s Admin právy, pak by to už k pousmání nebylo…
Me se stalo to same :) Akorat se mi zacala instalovat nejaka utilitka k memu externim HDD. Dik ze si to reportoval.
ReportNo někdo to reportoval již přede mnou, protože když jsem to reportoval já, tak v MS o tom již věděli a měli to na stránkách programu v seznamu chyb. Bylo nás zjevně víc, kdo jsme na to po celém světě přišli a reportovali to :).
MS má docela štětí na instalátory beta produktů. Instalátor Expression Studio 2 Beta dovoloval zvolit libovolnou složku, ale pokud to náhodou nebyla ta původní, tak při instalaci spadnul s nesmyslnou chybou.
eXperience ;)Zkrátka díky MS produktům jsme neustále zásobeni notnou dávkou zajímavých zkušeností :)