บริษัทวิจัยด้านความปลอดภัยอ้างว่าพบข้อบกพร่องร้ายแรงในระบบปฏิบัติการ Mac OS X ล่าสุดของ Apple ระบบที่อนุญาตให้ผู้โจมตีเปลี่ยนรหัสผ่านระบบของคุณโดยปราศจากความรู้ที่มีอยู่ รหัสผ่าน. นักวิจัยคนหนึ่งกล่าวว่าการเปลี่ยนแปลงระบบการตรวจสอบสิทธิ์ของ Lion ทำให้ผู้ใช้ที่ไม่ใช่รูทสามารถดูข้อมูลแฮชรหัสผ่านได้
Chester Wisnieski เปิดเผยในโพสต์บนบริษัท การรักษาความปลอดภัยที่เปลือยเปล่าบล็อกที่การตัดสินใจของ Apple ในการใช้บริการไดเรกทอรีท้องถิ่นใน OS X Lion ทำให้การอนุญาตไม่ปลอดภัย:
“ผู้โจมตีที่สามารถเข้าถึง Mac ที่เข้าสู่ระบบ (ในเครื่อง ผ่าน VNC/RDC, SSH ฯลฯ) สามารถเปลี่ยน ปัจจุบันเข้าสู่ระบบรหัสผ่านของผู้ใช้โดยไม่ทราบรหัสผ่านที่มีอยู่ตามปกติ ที่จำเป็น. ในอดีต (ใน Snow Leopard) คุณจะต้องป้อนรหัสผ่านที่มีอยู่ก่อนเพื่อยืนยันว่าคุณเป็นเจ้าของบัญชีจริงๆ”
“ผู้ใช้ที่เข้าสู่ระบบไม่เพียงแต่สามารถเปลี่ยนรหัสผ่านได้โดยไม่ต้องรู้รหัสผ่านที่มีอยู่ แต่คุณสามารถอ่านแฮชรหัสผ่านของผู้ใช้รายอื่นและพยายามบังคับอย่างดุร้าย สิ่งนี้เป็นอันตรายอย่างยิ่งหากคุณใช้การเข้ารหัสดิสก์ FileVault 2 ใหม่ของ Apple หาก Mac ของคุณถูกปลดล็อคและมีคนเปลี่ยนรหัสผ่านของคุณ คุณจะไม่สามารถบูตเครื่องคอมพิวเตอร์ของคุณได้อีกต่อไปและอาจสูญเสียการเข้าถึงข้อมูลทั้งหมดของคุณ”
Wisniewski กล่าวว่าข้อบกพร่องนี้ยังช่วยให้ผู้โจมตีสามารถเปลี่ยนรหัสผ่านสำหรับผู้ใช้รายอื่นได้เช่นกัน
ผู้ใช้ Lion จะหวังว่า Apple จะออกการแก้ไขข้อบกพร่องด้านความปลอดภัยในเร็วๆ นี้ แต่ใน OS X 10.7.2 เบต้าปัจจุบัน ข้อบกพร่องยังคงมีอยู่ ตาม Wisniewski อย่างไรก็ตาม ควรจำไว้ว่าเพื่อให้ Mac ของคุณมีช่องโหว่ ผู้โจมตีจะต้องเข้าถึงระบบของคุณได้แล้ว ตราบใดที่คุณสามารถใช้ความระมัดระวังเพื่อป้องกันสิ่งนี้ คุณก็ไม่ควรประสบปัญหาใดๆ
Wisniewski แนะนำให้ใช้รหัสผ่านที่ปลอดภัยเพื่อป้องกันการโจมตีโดยใช้กำลังเดรัจฉาน เพื่อให้มั่นใจว่า Mac ของคุณต้องใช้รหัสผ่านเพื่อ เปิดจากสกรีนเซฟเวอร์ ปิดการใช้งานการเข้าสู่ระบบอัตโนมัติ และใช้ 'Hot Corner' หรือล็อคพวงกุญแจเพื่อรักษาความปลอดภัยของคุณ หน้าจอ.
[ทาง Macworld]