Ett säkerhetsforskningsföretag hävdar att de har upptäckt en allvarlig brist i Apples senaste Mac OS X -operativsystem system som gör det möjligt för angripare att ändra ditt systemlösenord utan någon kunskap om dess befintliga Lösenord. En forskare säger att en ändring av Lions autentiseringssystem på något sätt har gjort det möjligt för icke-root-användare att se lösenordshash-data.
Chester Wisnieski avslöjade i ett inlägg om företagets Naken säkerhetblogg att Apples beslut att använda en lokal katalogtjänst i OS X Lion har lämnat behörigheter osäkra:
“En angripare som har tillgång till en inloggad Mac (lokalt, över VNC/RDC, SSH, etc) kan ändra för närvarande inloggad användarens lösenord utan att veta det befintliga lösenordet som normalt nödvändig. Historiskt sett (i Snow Leopard) skulle du behöva ange ditt befintliga lösenord först för att verifiera att du faktiskt är kontoinnehavaren. ”
”Inte bara kan en inloggad användare ändra sitt lösenord utan kunskap om det befintliga lösenordet, men du kan läsa alla andra användares lösenordshash och göra försök att brutalt tvinga det. Detta är särskilt farligt om du använder Apples nya FileVault 2 -diskkryptering. Om din Mac lämnades olåst och någon ändrade ditt lösenord skulle du inte längre kunna starta datorn och eventuellt förlora åtkomst till all din data. ”
Wisniewski sa att bristen också tillåter angripare att ändra lösenorden för andra användare också.
Lion -användare kommer att hoppas att Apple utfärdar en åtgärd för säkerhetsfelet omedelbart, men i den nuvarande betaversionen av OS X 10.7.2 är bristen fortfarande kvar, enligt Wisniewski. Det är dock värt att komma ihåg att för att din Mac ska vara sårbar måste angripare redan ha tillgång till ditt system. Så länge du kan vidta försiktighetsåtgärder för att förhindra detta bör du inte möta några problem.
Wisniewski rekommenderar att du använder ett säkert lösenord för att förhindra brute force -attacker, så att din Mac kräver ett lösenord för att öppna den från skärmsläckaren, inaktivera automatisk inloggning och använd ett "Hot Corner" eller nyckelringslås för att säkra din skärm.
[via Macworld]