Notebookcheck

Баг в Mac OS X позволяет пользователю сбросить пароль, не зная оригинала

Баг в Mac OS X позволяет пользователю сбросить пароль, не зная оригинала
Баг в Mac OS X позволяет пользователю сбросить пароль, не зная оригинала
Сообщается, что в Mac OS X есть несколько критических уязвимостей, позволяющих легко сменить пароль

В блоге Defence in depth один из исследователей недавно разместил информацию об обнаруженной в Mac OS X 10.7 уязвимости. Она позволяет атакующему сменить пароль Mac OS X, при этом не требуется знание существующего пароля.

Оказывается, система предоставляет простой доступ к теневым файлам пользователя, хотя по идее для этого необходимо обладать высокими привилегиями.

Исследователь Патрик Дунстанд отметил, что при переработке схемы аутентификации в OS X Lion одна критичная ошибка была допущена. Благодаря этому пользователи без прав рута, хоть и не имеют возможности напрямую получать доступ к теневым файлам, хэш текущего пароля увидеть могут. Для этого приходится извлекать данные напрямую из Directory Services.

Патрик добавил, что большинство утилит для взлома пока не поддерживают хэши Mac OS X 10.7, однако это и не нужно, так как указанная выше уязвимость позволяет с легкостью поменять пароль. При запросе на смену пароля система предлагает просто ввести новый пароль, не требуя пройти аутентификацию.

Данная уязвимость довольно опасна для тех, кто пользуется шифрованием диска Аpple File Vault 2, так как если вдруг кто-то без ведома пользователя сменит пароль на компьютере с зашифрованным хранилищем - это чревато потерей всех данных на нем. Оказалось, что даже в тестовых сборках OS X 10.7.2 данный баг до сих пор не исправлен.

Последние обзоры
Обзор планшета Microsoft Surface 3Обзор планшета Microsoft Surface 3
Гвоздь программы. Среди представленных в последние месяцы устройств, именно новы... - 22.05.15
Обзор смартфона Motorola Moto E2 (Moto E 2015)Обзор смартфона Motorola Moto E2 (Moto E 2015)
Светобоязнь. Второе поколение популярного бюджетного смартфона Motorola Moto E о... - 20.05.15
Обзор ноутбука MSI GS30 ShadowОбзор ноутбука MSI GS30 Shadow
Без тени скромности. MSI представляет свой новый ноутбук GS30 Shadow в качестве ... - 19.05.15
Обзор Apple MacBook Retina (Early 2015)Обзор Apple MacBook Retina (Early 2015)
Золотая молодёжь. В противовес моделям Air, новый MacBook получил шикарный экран... - 15.05.15
Обзор ноутбука Asus ASUSPRO Advanced BU201LAОбзор ноутбука Asus ASUSPRO Advanced BU201LA
Работа без командировок. Корпоративный ноутбук с привлекательными характеристика... - 10.05.15
» Обзор Apple MacBook Air 11" (Early 2015)
» Обзор смартфона Xiaomi Redmi 2
» Обзор умных часов Asus ZenWatch (Wi500Q)
» Обзор ноутбука Asus G551JK
» Первые бенчмарки: GTA V на ноутбуке
... больше обзоров

Source(s)

Последние новости
27/05/2015
iPhone перезагружается от арабских символов
Новая уязвимость в приложении iMessage ("Сообщения")...
26/05/2015
Cortana появится на Android и iOS
Неожиданный ход со стороны Microsoft
24/05/2015
Firefox для iOS: Скоро, скоро!
Новостная лента разработчиков сообщает о бета-тестировании...
23/05/2015
Китайские производители начинают поставки экранов 8K
Постепенный захват рынка 8K - в планах компании BOE...
22/05/2015
Кто-то продаёт ваши фотки за $100.000
'Художник' в Нью-Йорке выручает деньги за продажу фото из Instagram...
21/05/2015
Huawei Lite OS
Операционная система размером 10 Кб
Неполиткорректная 'пасхалка' в Google Maps
Фраза Nigga House, набранная в поисковой строке, направит на Белый Дом...
20/05/2015
'Глупые' телефоны должны вернуться
Мнение: умные телефоны не столько упрощают нашу жизнь, сколько крадут ...
19/05/2015
18/05/2015
17/05/2015
16/05/2015
15/05/2015
... больше новостей
> Главная > Новости > Архив новостей > Архив новостей за 2011 09 > Баг в Mac OS X позволяет пользователю сбросить пароль, не зная оригинала
Pallab Jyotee Hazarika, 2011-09-22 (Update: 2012-07-19)