Often Misused: File System

Transmitir um buffer de saída de tamanho inadequado para uma função de manipulação de caminho pode resultar em um buffer overflow.

O Windows fornece um grande número de funções utilitárias que manipulam buffers contendo nomes de arquivo. Na maioria dos casos, o resultado é retornado em um buffer que é transmitido como entrada. (Em geral, o nome do arquivo é modificado no local.) A maioria das funções exige que o buffer tenha pelo menos MAX_PATH bytes de comprimento, mas você deve verificar a documentação para cada função individualmente. Se o buffer não for grande o suficiente para armazenar o resultado da manipulação, poderá ocorrer um buffer overflow.

Exemplo 1:

char *createOutputDirectory(char *name) {
	char outputDirectoryName[128];
	if (getCurrentDirectory(128, outputDirectoryName) == 0) {
		return null;
	}
	if (!PathAppend(outputDirectoryName, "output")) {
		return null;
	}
	if (!PathAppend(outputDirectoryName, name)) {
		return null;
	}
	if (SHCreateDirectoryEx(NULL, outputDirectoryName, NULL)
        != ERROR_SUCCESS) {
		return null;
	}
	return StrDup(outputDirectoryName);
}

Nesse exemplo, a função cria um diretório chamado "output\<name>" no diretório atual e retorna uma cópia de heap alocado do seu nome. Para a maioria dos valores do diretório atual e do parâmetro "name", essa função funcionará corretamente. No entanto, se o parâmetro name for particularmente longo, a segunda chamada para PathAppend() poderá causar um estouro do buffer de outputDirectoryName, que é menor que MAX_PATH bytes.

A chamada identificada usa métodos que seguem links simbólicos.

Certas funções identificadas são conhecidas por seguir links simbólicos cegamente. Quando isso acontece, o aplicativo abre, lê ou grava dados no arquivo que o link simbólico aponta em vez da representação do link simbólico. Um invasor pode enganar o aplicativo para que ele grave em arquivos essenciais do sistema ou em arquivos alternativos, ou pode fornecer dados comprometidos ao aplicativo.

Exemplo 1: Este código utiliza as funções que seguem links simbólicos:

...
	struct stat output;
	int ret = stat(aFilePath, &output);
	// error handling omitted for this example
	struct timespec accessTime = output.st_atime;
...

A máscara especificada pelo argumento umask() é muitas vezes confundida com o argumento para chmod().

A página man umask() começa com a instrução falsa:

"umask define a máscara do usuário como a máscara & 0777"

Embora esse comportamento possa condizer melhor com o uso de chmod(), no qual o argumento fornecido pelo usuário especifica os bits a serem habilitados no arquivo especificado, o comportamento de umask() é, na verdade, o oposto: umask() define umask como ~mask & 0777.

A página man umask() continua e descreve o uso correto de umask():

"A umask é usada para definir as permissões de arquivo iniciais em um arquivo recém-criado. Especificamente, as permissões na umask são desativadas a partir do argumento de modo (assim, por exemplo, o valor umask padrão comum de 022 resulta em novos arquivos que estão sendo criados com permissões 0666 & ~022 = 0644 = rw-r-r-- no caso habitual em que o modo é especificado como 0666)".

A chamada utiliza métodos que gravam em arquivos temporários antes de gravar no arquivo pretendido.

Muitas APIs minimizarão o risco de perda de dados mediante a gravação completa em um arquivo temporário e, em seguida, a cópia do arquivo inteiro para o destino pretendido. Certifique-se de que o método identificado não funcione em arquivos ou caminhos em diretórios públicos ou temporários, pois um invasor pode substituir o arquivo temporário logo antes que ele seja gravado no arquivo pretendido. Isso permite que o invasor controle o conteúdo dos arquivos utilizados pelo aplicativo em diretórios públicos.

Exemplo 1: O seguinte código grava a transactionId ativa em um arquivo temporário no diretório Documentos de aplicativo usando um método vulnerável:

...
//get the documents directory:
let documentsPath = NSSearchPathForDirectoriesInDomains(.DocumentDirectory, .UserDomainMask, true)[0]
//make a file name to write the data to using the documents directory:
let fileName = NSString(format:"%@/tmp_activeTrans.txt", documentsPath)
// write data to the file
let transactionId = "TransactionId=12341234"
transactionId.writeToFile(fileName, atomically:true)
...