<div dir="ltr"><div dir="ltr"><p style="margin-top:0px;font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">This article goes into depth on how Homebrew opens OSX to a number of security issues. I'm curious if a security expert could comment if similar vulnerabilities exist with Macports.</font></p><p style="margin-top:0px"><font color="#000000"><font face="-apple-system, BlinkMacSystemFont, Helvetica Neue, Roboto, sans-serif"><span style="font-size:14px">One vulnerability is a malicious program acquiring the administrators password. The attack is opened up when Homebrew modifies /usr/local/bin permissions for r/w by a non-root user. This permission change allows an installed brew app to modify other binaries in this path, for instance sudo. Homebrew defaults the path prefix as follows /usr/local/bin:/usr/bin and therefore the malicious binary can take advantage of this by inserting another fake malicious binary.</span></font></font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">The article is as follows:<br><a href="https://applehelpwriter.com/2018/03/21/how-homebrew-invites-users-to-get-pwned/" rel="nofollow noopener" style="background-color:transparent;text-decoration:none;font-weight:bold;word-wrap:break-word">https://applehelpwriter.com/2018/03/21/how-homebrew-invites-users-to-get-pwned/</a><br>More vulnerabilities here:<br><a href="https://hackerone.com/homebrew/" rel="nofollow noopener" style="background-color:transparent;text-decoration:none;font-weight:bold;word-wrap:break-word">https://hackerone.com/homebrew/</a></font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">The author claims that Macports is more secure because the installed explicitly uses root privilege during package installation.</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">Are there any security experts out there that can comment on the security impact of using Homebrew and Macports? To be more secure should one use all their Unix applications in a emulated Linux VirtualBox session?</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">Thanks for any insight you may have.</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">Nicholas</font></p></div></div>