<div dir="ltr"><div dir="ltr">Thanks for the quick reply.<div><br></div><div>Do you have any specific examples or facts which support these claims?</div></div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 6, 2018 at 10:27 AM Marius Schamschula <<a href="mailto:mschamschula@gmail.com">mschamschula@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I can't say that I'm a security expert, but have been a system administrator of *NIX systems for 23 years, and do follow a number of real security experts.<div><br></div><div>You mention an obvious issue with installing binaries w/o root permission, no matter where in the directory structure. There are reasons why MacPorts, and for that matter Fink, don't install in /usr/local, but that has little to do with permissions. FreeBSD installs all local ports there, as do some Linux distros.</div><div><br></div><div>Homebrew follows the path of least resistance to make things easy. But a what cost?</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 6, 2018 at 9:14 AM Nicholas Papadonis <<a href="mailto:nick.papadonis.ml@gmail.com" target="_blank">nick.papadonis.ml@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div dir="ltr"><p style="margin-top:0px;font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">This article goes into depth on how Homebrew opens OSX to a number of security issues. I'm curious if a security expert could comment if similar vulnerabilities exist with Macports.</font></p><p style="margin-top:0px"><font color="#000000"><font face="-apple-system, BlinkMacSystemFont, Helvetica Neue, Roboto, sans-serif"><span style="font-size:14px">One vulnerability is a malicious program acquiring the administrators password. The attack is opened up when Homebrew modifies /usr/local/bin permissions for r/w by a non-root user. This permission change allows an installed brew app to modify other binaries in this path, for instance sudo. Homebrew defaults the path prefix as follows /usr/local/bin:/usr/bin and therefore the malicious binary can take advantage of this by inserting another fake malicious binary.</span></font></font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">The article is as follows:<br><a href="https://applehelpwriter.com/2018/03/21/how-homebrew-invites-users-to-get-pwned/" rel="nofollow noopener" style="background-color:transparent;text-decoration:none;font-weight:bold;word-wrap:break-word" target="_blank">https://applehelpwriter.com/2018/03/21/how-homebrew-invites-users-to-get-pwned/</a><br>More vulnerabilities here:<br><a href="https://hackerone.com/homebrew/" rel="nofollow noopener" style="background-color:transparent;text-decoration:none;font-weight:bold;word-wrap:break-word" target="_blank">https://hackerone.com/homebrew/</a></font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">The author claims that Macports is more secure because the installed explicitly uses root privilege during package installation.</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">Are there any security experts out there that can comment on the security impact of using Homebrew and Macports? To be more secure should one use all their Unix applications in a emulated Linux VirtualBox session?</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">Thanks for any insight you may have.</font></p><p style="font-family:-apple-system,BlinkMacSystemFont,"Helvetica Neue",Roboto,sans-serif;font-size:14px"><font color="#000000">Nicholas</font></p></div></div>
</blockquote></div><br clear="all"><div><br></div>-- <br><div dir="ltr" class="m_1075259866312832876gmail_signature" data-smartmail="gmail_signature">Marius Schamschula</div>
</blockquote></div>