home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #20 / NN_1992_20.iso / spool / comp / os / os2 / apps / 5946 < prev    next >
Encoding:
Internet Message Format  |  1992-09-08  |  2.3 KB
  1. Xref: sparky comp.os.os2.apps:5946 comp.security.misc:1191
  2. Newsgroups: comp.os.os2.apps,comp.security.misc
  3. Path: sparky!uunet!sun-barr!ames!news.hawaii.edu!wiliki.eng.hawaii.edu!newsham
  4. From: newsham@wiliki.eng.hawaii.edu (Timothy Newsham)
  5. Subject: Re: Self-Extracting Binaries dangerous? (Was: REXXShip: Self-Extracting UUEncode!)
  6. Message-ID: <1992Sep8.033942.15272@news.Hawaii.Edu>
  7. Sender: root@news.Hawaii.Edu (News Service)
  8. Nntp-Posting-Host: wiliki.eng.hawaii.edu
  9. Organization: University of Engineering, College of Engineering
  10. References: <dank.715798089@blacks> <1992Sep6.175645.24543@midway.uchicago.edu> <PSHUANG.92Sep6171439@m4-035-13.mit.edu>
  11. Date: Tue, 8 Sep 1992 03:39:42 GMT
  12. Lines: 40
  13.  
  14. In article <PSHUANG.92Sep6171439@m4-035-13.mit.edu> pshuang@athena.mit.edu (Ping-Shun Huang) writes:
  15. >In article <1992Sep6.175645.24543@midway.uchicago.edu> sip1@ellis.uchicago.edu (Timothy F. Sipples) writes:
  16. >
  17. > > If someone hands you a file called FORMAT11.EXE it could be a self
  18. > > extracting archive.  Or could it do something more dangerous?  You
  19. > > just don't know.  Unless you take the file and spend hours with a
  20. > > code examiner of some sort, disassembling the code, you won't know
  21. > > what it does until you run it.  REXXShip is definitely not like this.
  22. >
  23. > > Arguably REXXShip format is safer than UUEncoded format since the
  24. > > UUDecode utility itself could have been altered by a devious person.
  25. > > REXXShip at least elminates one step.
  26. >
  27. >This reveals a strong argument for the equivalent to an "uudecode"
  28. >utility to be shipped with the operating system -- that way, you don't
  29. >need to worry any more about a spoofed uudecode utility than a spoofed
  30. >REXX interpreter which might interpret a REXX script that *LOOKS*
  31. >harmless in a harmful manner.
  32. >
  33. >--
  34. >Ping Huang (INTERNET: pshuang@athena.mit.edu), probably speaking for himself
  35. >
  36.  
  37. You still end up putting trust in a binary you have no idea about:
  38.  
  39. (1) download  zip.uu
  40. (2) un-uudecode   to get 'zip'
  41. (3) can use zip from now on.
  42.  
  43. or
  44.  
  45. (1) download zip.sua  (self un archive)
  46. (2) run zip.sui to get 'zip'
  47. (3) can use zip from now on.
  48.  
  49. what is the difference between trusting 'zip' and trusting 'zip.sui' ??
  50. Either one could contain a trojan horse.  Neither one is safer than
  51. the other.  (note this argument is re: including uuencode, not 
  52. about the Rexx self dearchive)
  53.  
  54.