Eddig nem volt jó éve a Mac biztonságának, legalábbis a PR szempontjából, és hamarosan sokkal csúnyább lesz: egy Apple programozó elfelejtette kikapcsolni a hibakeresési kapcsolót az OS X 10.7.3 biztonsági beállításaiban, mielőtt a frissítést elküldték a nyilvános.
Az eredmény? Ha az OS X 10.7.3 operációs rendszert futtatja, előfordulhat, hogy a bejelentkezési jelszó egyszerű szövegben van tárolva a merevlemez titkosítatlan, könnyen hozzáférhető részén.
A hatalmas SNAFU -t David Emery biztonsági kutató fedezte fel, aki azt állítja, hogy minden felhasználói bejelentkezési jelszó létezik rendszerszintű hibakeresési naplófájlban, valós szövegben tárolva, a legújabb Apple biztonsági frissítés Lion, OS X egyes terjesztéseiben 10.7.3.
Emery szerint ez komoly probléma, mivel ezt a fájlt és a benne található jelszavakat bárki könnyen elérheti, aki fizikai vagy távoli hozzáféréssel rendelkezik a számítógépéhez:
Ez rosszabb, mint amilyennek látszik, mivel a kérdéses napló úgy is olvasható, hogy a gépet firewire lemez módba indítja, és a meghajtó kinyitásával olvassa. lemezként vagy az új-LION helyreállítási partíció indításával, és a rendelkezésre álló szuperfelhasználói héj használatával a fő fájlrendszer-partíciót csatlakoztatva, és fájlt. Ez lehetővé tenné, hogy valaki titkosított partíciókra törjön olyan gépeken, amelyeknek fogalma sem volt a bejelentkezési jelszavakról.
Ami még rosszabb, hatással van a Time Machine biztonsági mentéseire a külső meghajtókon, és még a Filevailt -t használó számítógépek sem védettek attól, hogy a hackerek hozzáférjenek a naplófájlhoz.
Emery szerint a legjobb módja annak, hogy megvédje magát az Apple javításáig, ha a Filevault 2 teljes lemez titkosítását használja. mivel a firmware jelszavának megakadályozása érdekében a hackerek hozzáférhetnek a lemezhez a számítógép FireWire lemez módban történő indításával.
Valószínűtlennek tűnik, hogy az Apple az elkövetkező napokban nem sietteti a probléma megoldását, de a Flashback után egy ilyen hülye csavar rosszul időzített. A fogyasztók már kezdenek attól tartani, hogy a Mac esetleg nem lesz olyan biztonságos, mint azt hagyományosan gondolták. Az Apple-nek nem kell segítenie ezt az érvet azzal, hogy elfelejti a felhasználói rendszerek újbóli biztonságát, mielőtt elküldi a legújabb OS X frissítést.
Forrás: Cryptome
Keresztül: ZDNet
