Fornylig var det Apples sløve opdatering af SLL-cerfitikater der udgjorde et meget alvorligt sikkerhedshul på Mac OS X Lion og i Safari, og nu er den så gal med adgangskoderne.
Det er nemlig ret nemt at lure og skifte Lion-brugeres adgangskoder uden at have root-rettigheder på en Mac med Lion.
Ifølge Defence in Depth er det muligt for hackere at se password hash-data uden af root-adgang, hvilket igen vil sige at et simpelt Python script er alt en hacker skal bruge for at se og ændre adgangskoder uden root-adgang.
Værre bliver det af at Lion ikke kræver et eksisterende password for at ændre password. Man kan blot benytte “dscl localhost -passwd /Search/Users/xxxxx” hvor “x” er brugernavnet for at ændre kodeord på Lion.
Der er dog vise begrænsninger for mulighederne, da hackere skal have adgang på lokalnetværket samt adgang til Directory Service.
Læs mere om sikkerhedshullet og muligheder for at beskytte dig via Cnet.
Ingen kommentarer:
Send en kommentar