Стара уязвимост в macOS може да предостави root права на местните потребители

Manuel Alonso

2 Minutos

Уязвимост в macOS

Въпреки че тази уязвимост съществува от дълго време, най-малко десетилетие, сега е установено, че използването й може да доведе до значителни щети. Изследователите по сигурността разкриха подвиг, който може да повлияе Unix-базирани операционни системи, включително macOS Big Sur и по-ранни версии. Тази sudo уязвимост в macOS може да предостави root права на местните потребители.

През януари изследователите по сигурността разкриха нова уязвимост, която може да засегне Unix-базирани операционни системи. Експлойтът съществува от поне 10 години, но това е първата известна документация за него. Идентифициран е като CVE-2021-3156, Преливане на буфер на базата на Sudo. Експлойтът прилича на предишен бъг кръпка, наречена CVE-2019-18634. Изследователи от Qualy's идентифицира грешката в Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) и Fedora 33 (Sudo 1.9.2). Те казват, че това може да засегне други операционни системи и дистрибуции, работещи със засегнатата версия на Sudo. Засегнати са всички стари версии 1.8.2 до 1.8.31p2 и всички стабилни версии 1.9.0 до 1.9.5p1.

Да. Можем да сме малко спокойни, защото според изследователите потребителите ще се нуждаят от достъп до компютъра, за да стартират експлоата. Изследовател по сигурността Матю Хики, съосновател на Hacker House коментира ZDNet,  разкри в сряда, че бъгът може да се използва и на Mac.

За да го активирате, трябва просто да презапишете argv [0] или да създадете символна връзка, като по този начин излага операционната система на същата уязвимост локален корен, който засегна потребителите на Linux през последната седмица.

https://twitter.com/hackerfantastic/status/1356645638151303169?s=20

Apple трябва да стартира актуализация на защитата с корекцията по всяко време, но потребителите могат да действат по-рано, ако сметнем за необходимо. Разбира се, при плащане на Qualys, която предлага програма, в която обяснява как да се коригира уязвимостта. Ние не вярваме, че това е необходимо, но не е и излишно.


Купете домейн
Интересувате се от:
Тайните за успешно стартиране на вашия уебсайт

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.