एक सुरक्षा अनुसंधान फर्म ने दावा किया है कि उसने Apple के नवीनतम Mac OS X ऑपरेटिंग में एक गंभीर खामी का पता लगाया है सिस्टम जो हमलावरों को आपके सिस्टम पासवर्ड को उसके मौजूदा के किसी भी ज्ञान के बिना बदलने की अनुमति देता है पासवर्ड। एक शोधकर्ता का कहना है कि लायन के प्रमाणीकरण प्रणाली में बदलाव ने किसी तरह गैर-रूट उपयोगकर्ताओं को पासवर्ड हैश डेटा देखने की अनुमति दी है।
चेस्टर विस्निएस्की ने कंपनी के एक पोस्ट में खुलासा किया नग्न सुरक्षाब्लॉग कि Apple के OS X Lion में स्थानीय निर्देशिका सेवा का उपयोग करने के निर्णय ने अनुमतियों को असुरक्षित छोड़ दिया है:
"एक हमलावर जिसके पास लॉग इन मैक (स्थानीय रूप से, वीएनसी/आरडीसी, एसएसएच, आदि पर) तक पहुंच है, वह बदलने में सक्षम है वर्तमान में सामान्य रूप से मौजूदा पासवर्ड को जाने बिना उपयोगकर्ता के पासवर्ड में लॉग इन किया गया है आवश्यक। ऐतिहासिक रूप से (हिम तेंदुए में) आपको यह सत्यापित करने के लिए पहले अपना मौजूदा पासवर्ड दर्ज करना होगा कि आप वास्तव में खाता धारक हैं।"
"न केवल एक लॉग इन उपयोगकर्ता मौजूदा पासवर्ड के ज्ञान के बिना अपना पासवर्ड बदल सकता है, लेकिन आप किसी अन्य उपयोगकर्ता पासवर्ड हैश को पढ़ सकते हैं और इसे जबरदस्ती करने के प्रयास कर सकते हैं। यह विशेष रूप से खतरनाक है यदि आप Apple के नए FileVault 2 डिस्क एन्क्रिप्शन का उपयोग कर रहे हैं। यदि आपका मैक अनलॉक रह गया था और किसी ने आपका पासवर्ड बदल दिया था तो आप अपने कंप्यूटर को बूट नहीं कर पाएंगे और संभावित रूप से आपके सभी डेटा तक पहुंच खो देंगे।
Wisniewski ने कहा कि दोष हमलावरों को अन्य उपयोगकर्ताओं के लिए भी पासवर्ड बदलने की अनुमति देता है।
शेर उपयोगकर्ता उम्मीद कर रहे होंगे कि ऐप्पल सुरक्षा दोष के लिए जल्द ही एक फिक्स जारी करेगा, लेकिन मौजूदा ओएस एक्स 10.7.2 बीटा में, विस्निव्स्की के अनुसार, दोष अभी भी मौजूद है। हालांकि, यह याद रखने योग्य है कि आपके मैक के कमजोर होने के लिए, हमलावरों के पास पहले से ही आपके सिस्टम तक पहुंच होनी चाहिए। जब तक आप इसे रोकने के लिए सावधानी बरत सकते हैं, आपको किसी भी समस्या का सामना नहीं करना चाहिए।
Wisniewski क्रूर बल के हमलों को रोकने के लिए एक सुरक्षित पासवर्ड का उपयोग करने की सिफारिश करता है, यह सुनिश्चित करने के लिए कि आपके मैक को पासवर्ड की आवश्यकता है इसे स्क्रीनसेवर से खोलें, स्वचालित लॉगिन अक्षम करें, और अपनी सुरक्षा के लिए 'हॉट कॉर्नर' या कीचेन लॉक का उपयोग करें स्क्रीन।
[के जरिए मैकवर्ल्ड]
