MacOS-en zaurgarritasun zahar batek root pribilegioak eman diezaieke bertako erabiltzaileei

Ahultasuna macOS-en

Ahultasun hori aspaldidanik egon bada ere, zehazki hamarkada bat, gutxienez, orain detektatu da hura erabiltzeak kalte handiak ekar ditzakeela. Segurtasuneko ikerlariek eragin dezaketen ustiapen bat agerian utzi dute Unix-en oinarritutako sistema eragileak, macOS Big Sur barne eta aurreko bertsioak. MacOS-en sudo ahultasun horrek root pribilegioak eman diezaieke bertako erabiltzaileei.

Urtarrilean segurtasuneko ikertzaileek Unix-en oinarritutako sistema eragileetan eragina izan dezakeen ahultasun berria agertu zuten. Ustiapenak gutxienez 10 urte daramatza, hala ere, ezagutzen den lehen dokumentazioa da. CVE-2021-3156 bezala identifikatzen da, Sudo oinarritutako buffer gainezkapena. Exploitak aurrez egindako akats baten itxura du CVE-2019-18634 izeneko adabakia. Ikertzaileak Qualys akatsa identifikatu du Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) eta Fedora 33-n (Sudo 1.9.2). Kaltetutako Sudoren bertsioa exekutatzen duten beste sistema eragile eta banaketetan eragina izan dezakeela diote. 1.8.2 eta 1.8.31p2 bertsio zaharrek eta 1.9.0 eta 1.9.5p1 bertsio egonkor guztiek eragiten dute.

Bai. Pixka bat lasai egon gaitezke, ikertzaileen arabera, erabiltzaileek ordenagailura sarbidea beharko baitute ustiapena egiteko. Matthew Hickey segurtasun ikertzailea, Hacker House-ko sortzailea ZDNet-en iruzkindu du,  asteazkenean agerian utzi zuen hori akatsa Mac-en ere balia daiteke.

Aktibatzeko, argv [0] gainidatzi edo lotura sinbolikoa sortu besterik ez duzu sistema eragilea ahultasun berbera izaten du azken astean Linux erabiltzaileei eragin dien root lokala.

https://twitter.com/hackerfantastic/status/1356645638151303169?s=20

Applek abiarazi beharko luke segurtasun eguneratzea adabakiarekin noiznahi, baina erabiltzaileek lehenago jardun dezakete beharrezkotzat jotzen badugu. Noski, Qualys ordaindu ondoren, ahultasuna nola konpondu azaltzen duen programa eskaintzen du. Ez dugu uste hori beharrezkoa denik, baina ez da beharrezkoa.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.