SKY-net

Блоггер Патрик Данстан (Patrick Dunstan) сообщает, что компания Apple допустила несколько серьезных ошибок, связанных с обеспечением безопасности паролей в новой версии OS X Lion.

Данстан, который уже сообщал об уязвимостях, позволяющих взламывать пароли в Mac OS X , несколько лет назад, отмечает, что разработчики Apple вновь подвергли опасности пользователей. Во-первых, уязвимость позволяет изменять учетные данные пользователя без знания его пароля. Во-вторых, если раньше только пользователь с root-доступом мог получить хэши паролей других пользователей, которые хранятся в так называемых «теневых файлах», то в OS X Lion это ограничение можно легко обойти.

«Служба каталогов в OS X Lion больше не требует проверки подлинности при запросе об изменении пароля для текущего пользователя, - пишет Данстан. – Для того, чтобы изменить пароль текущего пользователя используйте: $ dscl localhost -passwd /Search/Users/bob».

Данстан создал Python-сценарий для проверки паролей. Это уже далеко не первая брешь, связанная с безопасностью паролей в Mac OS X Lion. Всего две недели назад стало известно об уязвимости в LDAP, которая позволяла успешно пройти аутентификацию на системе с пустым паролем.

Более подробно ознакомиться с исследованием Данстана можно здесь .

www.securitylab.ru

Опубликовано 20.09.2011 15:57 и размещено в рубрике Безопасность. Вы можете следить за комментариями, подписавшись на RSS 2.0 ленту этого сообщения. Комментирование закрыто.

публикации сходной тематики

• Новые уязвимости OS X Lion при работе с паролями
• Mac OS X Lion доступна на USB-флэшке за $69
• Apple задерживает выпуск новых Mac до выхода OS X Lion
• Apple выпускает OS X 10.7.4 для разработчиков
• Ряд приложений компаний Adobe и Microsoft несовместимы с Mac OS X Lion