Vaikka tämä haavoittuvuus on ollut olemassa jo pitkään, ainakin vuosikymmenen ajan, on nyt havaittu, että sen käyttö voi johtaa merkittäviin vahinkoihin. Turvallisuustutkijat paljastivat hyödyntämisen, joka voi vaikuttaa Unix-pohjaiset käyttöjärjestelmät, mukaan lukien macOS Big Sur ja aiemmat versiot. Tämä macOS: n sudo-haavoittuvuus voi antaa juurioikeudet paikallisille käyttäjille.
Voi vahvistaa macOS Big Surilla sekä x86_64: ssä että aarch64: ssä. pic.twitter.com/nQqQ8rskv7
- Will Dormann (@wdormann) Helmikuu 2, 2021
Tammikuussa tietoturvatutkijat paljastivat uuden haavoittuvuuden, joka voi vaikuttaa Unix-pohjaisiin käyttöjärjestelmiin. Hyödyntäminen on ollut olemassa ainakin 10 vuotta, mutta tämä on ensimmäinen tiedossa oleva dokumentaatio siitä. Sen tunnus on CVE-2021-3156, Sudopohjainen puskurin ylivuoto. Hyödyntäminen näyttää samanlaiselta kuin aikaisemmin vika korjaustiedosto nimeltä CVE-2019-18634. Tutkijat Qualyn tunnisti virheen Ubuntu 20.04: ssä (Sudo 1.8.31), Debian 10: ssä (Sudo 1.8.27) ja Fedora 33: ssa (Sudo 1.9.2). He sanovat, että se voi vaikuttaa muihin käyttöjärjestelmiin ja jakeluihin, joissa käytetään kyseistä Sudon versiota. Tämä koskee kaikkia vanhoja versioita 1.8.2 - 1.8.31p2 ja kaikkia vakaa versioita 1.9.0 - 1.9.5p1.
Joo. Voimme olla hieman rauhallisia, koska tutkijoiden mukaan käyttäjien on käytettävä tietokonetta voidakseen käyttää hyväksikäyttöä. Turvallisuustutkija Matthew Hickey, Hacker Housen perustaja kommentoi ZDNetiä, paljasti keskiviikkona virhettä voidaan hyödyntää myös Macissa.
Aktivoidaksesi sen sinun on vain korvattava argv [0] tai luotava symbolinen linkki altistaa käyttöjärjestelmän samalle haavoittuvuudelle paikallinen juuri, joka on vaikuttanut Linux-käyttäjiin viime viikolla.
https://twitter.com/hackerfantastic/status/1356645638151303169?s=20
Applen pitäisi käynnistää tietoturvapäivitys korjaustiedoston kanssa milloin tahansa, mutta käyttäjät voivat toimia aikaisemmin, jos katsomme sen tarpeelliseksi. Tietenkin, kun maksetaan Qualysille, joka tarjoaa ohjelman, joka selittää haavoittuvuuden korjaamisen. Emme usko, että tämä on välttämätöntä, mutta ei myöskään tarpeetonta.
