باگ در مک
توسط royaflash دذ ۱۵ شهر, ۱۳۹۲ دذ ۰۵:۵۸ قبل از ظهر | دسته‌بندی شده در مک | با ۰ دیدگاه |1,059 views

یک حفره امنیتی کم اهمیت که پس از گذشت چند ماه از کشف آن هنوز در سیستم‌عامل مک حل نشده باقی مانده‌است، اجازه دسترسی کامل به sudo بدون نیاز به رمز عبور را با دستکاری در تاریخ کامپیوتر می‌دهد.

این حفره امنیتی مربوط سیستم احراز هویت sudo نسخه ۱.۶ می‌باشد که در سیستم‌عامل مک نسخه‌های ۱۰.۸، ۱۰.۷ و احتمالا نسخه‌های قبلی مورد استفاده قرار گرفته‌است. براساس این حفره امنیتی با ریست کردن تاریخ کامپیوتر به اول ژانویه ۱۹۷۰ که به عنوان تاریخ مبدا یونیکس شناخته می‌شود دیگر درخواست ورود رمز عبور برای استفاده از sudo به کاربر داده نخواهدشد.

البته برای تغییر تاریخ کامپیوتر نیاز به رمز عبور می‌باشد و احتمالا به همین دلیل بوده که این آسیب‌پذیری از نظر اپل کم‌اهمیت می‌باشد و با وجود گذشت چند ماه از انتشار آن هنوز به‌روزرسانی‌ای جهت رفع آن ارائه داده نشده‌است.

در یک سناریو احتمالی باید در نظر داشت در هر بار وارد کردن رمز عبور برای sudo به مدت ۱۰ دقیقه در صورتی که جلسه کاری توسط کاربر بسته نشود، sudo اجازه استفاده بدون رمز عبور را برای راحتی به کاربر می‌دهد. حال در صورتی که پیش از پایان زمان ۱۰ دقیقه‌ای فرد دیگری بدون اجازه به این جلسه باز، دسترسی داشته باشد می‌تواند با استفاده از دستور systemsetup تاریخ کامپیوتر را تغییر دهد و اجازه دسترسی به sudo بدون رمز عبور را فراهم کند.

درباره - یاشار اسمعیل دخت هستم ۲۷ سالمه (به دنیال یافتم آنم که کیستم)به صورت ۱۰۰٪ به گنو/لینوکس مهاجرت کردم . من رو با نام royaflash میشناسید . در زمینه شبکه و امنیت شبکه فعالیت میکنم . لینوکس همیشه چیزی برای یادگیری داره و لینوکس یه فرهنگه . در صورت نیاز میتونین با آدرس ایمیل : [email protected] یا شماره تلفن : 09141100257 در ارتباط باشید . وبلاگ شخصی من (-:) درباره من

فرستادن یک دیدگاه

XHTML: شما می‌توانید از این برچسب‌ها استفاده کنید: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>