Ένα σοβαρό security bug αποκάλυψε ο ερευνητής ασφαλείας David Emery, στην τρέχουσα έκδοση του OS X Lion (10.7.3), το οποίο αποθηκεύει τα login passwords σε μορφή plain text.
Το πρόβλημα επικεντρώνεται στους χρήστες του Snow Leopard που παράλληλα χρησιμοποιούν τη επιλογή του FileVault encryption στο home directory τους, και μετά την αναβάθμιση σε Lion δεν επέλεξαν την ενεργοποίηση της full-disk κρυπτογράφησης με χρήση του FileVault 2.
Σύμφωνα με την Sophos φαίνεται πως από λάθος έμεινε ανοικτή μια debug επιλογή του Lion που ενεργοποιεί ένα system-wide debug log file που αποθηκεύει και περιέχει σε μορφή απλού κειμένου, τα passwords όλων των χρηστών που συνδέθηκαν στο σύστημα μετά την αναβάθμιση.
Το εν λόγω log file αποθηκεύεται εκτός της encrypted περιοχής του δίσκου και είναι προσβάσιμο σε όποιον έχει δικαιώματα administrator και αν το σύστημα ενεργοποιηθεί σε FireWire disk mode μέσω άλλου υπολογιστή. Επιπλέον μπορεί να προσπελαστεί από super-user shell και προσάρτηση του system partition.
Το bug φάινεται πως εντοπίστηκε την πρώτη εβδομάδα κυκλοφορίας του Lion, την 1η Φεβρουαρίου, από χρήστη του και αναφέρθηκε στο support forum της, ενώ από την Apple δεν έχει επιβεβαιωθεί ή σχολιαστεί από τότε.
Για προστασία συστήνεται σε όσους χρησιμοποιούν το παλιό FileVault να κάνουν ένα full disk encryption με το νέο FileVault 2 και να σβήσουν όλα τα backups του καθώς και το /var/log/secure.log αρχείο. Επιπλέον είναι καλή ιδέα να αλλάξουν το paasword αν κάνουν backups σε εξωτερικά μέσα ή cloud υπηρεσίες.
Πηγή : techspot
Εμφάνιση 1-15 από 17
-
07-05-12, 21:00 Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.767
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
07-05-12, 23:37 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #2
- Εγγραφή
- 05-11-2004
- Ηλικία
- 33
- Μηνύματα
- 3.745
- Downloads
- 44
- Uploads
- 0
- Άρθρα
- 30
- Τύπος
- FTTH
- Ταχύτητα
- 200/200 Mbps
- ISP
- Inalan
- Router
- EdgeRouter™ X
Κρισιμότατο flaw! Έχω ψιλοαγχωθεί τώρα μη δεχτώ κάποια επίθεση. Τι ακριβώς πρέπει να κάνω αν δεν επιθυμώ το encryption του δίσκου γενικά;
OK boomer
-
07-05-12, 23:43 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #3
Από τον Φεβρουάριο; Φοβερά αντανακλαστικά αυτή η εταιρεία, όπως και με το Flashback...
- Κάνετε τη δουλειά σας γρήγορα, αξιόπιστα, με ασφάλεια, χωρίς τεχνητούς περιορισμούς και δωρεάν με το Linux.
- Οι δίσκοι χαλάνε! Σκεφτείτε τα αρχεία σας πριν την πατήσετε. Κάνετε τακτικά backup.
-
07-05-12, 23:47 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #4
Η Μονή λύση είναι να βάλεις Linux όπως γράφει και η υπογραφή σου
-
08-05-12, 00:29 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #5
Πω πω.
Τους πήραν αμπάριζα εκεί στο μήλο.
Το ένα κενό ασφαλείας μετά το άλλο ανακαλύπτουν.
Μήπως τελικά έχει αρχίζει να σαπίζει το μηλαράκι;
-
08-05-12, 00:58 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #6
Το συγκεκριμένο bug αν και δεν είναι κάτι που θα επηρεάσει μεγάλο ποσοστό δείχνει μια προχειρότητα, ειδικά με τον χρόνο αντίδρασης.
Το αν "σαπίζει" ή όχι το μηλαράκι θα το δούμε στα επόμενα 1-2 χρόνια όταν (αναμένεται να) αυξηθούν τα ποσοστά του και θα προσελκύει πλέον περισσότερες επιθέσεις και προσπάθεια για εκμετάλλευση των bugs.
-
08-05-12, 03:39 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #7
Τον τελευταίο καιρό καταρρέει ο μύθος των απρόσβλητων υπολογιστών της apple με τα καλογραμμένα και χωρίς bugs λειτουργικά. Καλό είναι αυτό μπας και ξυπνήσουν οι χρήστες τους και αρχίσουν να προσέχουν λιγάκι.
-
08-05-12, 03:43 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #8
Όλα τα passwords σε unencrypted plain text, μπάτε όλοι δείτε;
Αυτό είναι το "ασφαλές" και "it just works" λειτουργικό της Apple;
Παιδιαριώδης ανευθυνότητα εκ μέρους της Apple.
-
08-05-12, 04:23 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #9
Ειναι περιεργες οι απανωτές καθυστερήσεις της Apple που διαβάζουμε τελευταία. Εδώ ενα jailbrake κάναμε κάποτε και στην επόμενη έκδοση firmware έκλεινε το κενό, σε θέματα που ειναι και σοβαρότερα (ασφάλεια) απλά κοιμάται?
Ή μήπως θεωρεί ότι στρουθοκαμηλίζοντας της κάνει καλό?"Είμαι άνθρωπος και έχω αξιοπρέπεια.
Δεν δέχομαι να με διαφεντεύει ένας ξένος γιατί τότε είμαι σκλάβος"
Sami Sharaf (former Egypt Minister)για τη διαχείρηση της διώρυγας του Σουέζ από τους Αγγλους
-
08-05-12, 09:47 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #10
Μην κατηγορείτε την Apple, έχεις σοβαρότερες ασχολίες τώρα...
Spoiler:
-
08-05-12, 11:56 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #11
- Εγγραφή
- 10-10-2009
- Περιοχή
- Θεσσαλονικη
- Ηλικία
- 33
- Μηνύματα
- 3.631
- Downloads
- 5
- Uploads
- 0
- Άρθρα
- 1
- Τύπος
- WiFi
- Ταχύτητα
- 20Mb/4Mb
- ISP
- GR Telecom
- Router
- PowerBeam M5-300
THIS IS AMAZING EPIC FAIL!!!
Δώσε τα λεφτά σου θα είσαι ασφαλές
opps!!
είναι σε txt to passowrd
Καλά το jibrake το κάνουν για πλάκα ούτε μια μέρα κρατάει το κλείδωμα τους θέλω να ξέρω πόσα πληρώνουν για άσχετους προγραμματιστές της η applea
-
08-05-12, 13:23 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #12"Είμαι άνθρωπος και έχω αξιοπρέπεια.
Δεν δέχομαι να με διαφεντεύει ένας ξένος γιατί τότε είμαι σκλάβος"
Sami Sharaf (former Egypt Minister)για τη διαχείρηση της διώρυγας του Σουέζ από τους Αγγλους
-
08-05-12, 14:53 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #13
-
08-05-12, 15:28 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #14
Πολύ σοβαρό το bug.
μου φαινεται περιεργο το πως τους ξεφυγε.
-
08-05-12, 15:54 Απάντηση: Ξεχασμένο debug switch οδηγεί σε κενό ασφαλείας τους χρήστες του OS X Lion #15
- Εγγραφή
- 05-11-2004
- Ηλικία
- 33
- Μηνύματα
- 3.745
- Downloads
- 44
- Uploads
- 0
- Άρθρα
- 30
- Τύπος
- FTTH
- Ταχύτητα
- 200/200 Mbps
- ISP
- Inalan
- Router
- EdgeRouter™ X
Παιδιά με αυτά που γράφετε με έχετε κάνει να χάσω τον ύπνο μου! Τι μπορώ να κάνω; Δεν θέλω να κάνω encrypt τον δίσκο
OK boomer
Παρόμοια Θέματα
-
Η Google συμβουλεύει τους Ιρανούς χρήστες του GMail να αλλάξουν τους κωδικούς τους
Από Mouse Potato στο φόρουμ ΕιδήσειςΜηνύματα: 2Τελευταίο Μήνυμα: 10-09-11, 13:47 -
Νέο κενό ασφαλείας εκθέτει τους χρήστες του Internet Explorer
Από ipo στο φόρουμ ΕιδήσειςΜηνύματα: 10Τελευταίο Μήνυμα: 04-11-10, 14:02 -
12χρονος πληρώνεται 3.000$ για κενό ασφαλείας του Firefox
Από ipo στο φόρουμ ΕιδήσειςΜηνύματα: 40Τελευταίο Μήνυμα: 28-10-10, 16:56 -
Ενημέρωση για το κενό ασφαλείας του Flash Player
Από treli@ris στο φόρουμ ΕιδήσειςΜηνύματα: 2Τελευταίο Μήνυμα: 21-09-10, 12:30 -
iPhone: Διορθώθηκε το επείγον κενό ασφάλειας με την έκδοση του OS 3.0.1
Από nm96027 στο φόρουμ ΕιδήσειςΜηνύματα: 12Τελευταίο Μήνυμα: 04-08-09, 15:00
Bookmarks