In âlde kwetsberens yn macOS kin root-privileezjes jaan oan lokale brûkers

Kwetsberens yn macOS

Hoewol dizze kwetsberens in lange tiid bestiet, spesifyk in desennium, teminsten, is it no dat ûntdutsen is dat it gebrûk dêrfan kin liede ta wichtige skea. Feiligensûndersikers hawwe in exploit iepenbiere dy't kin beynfloedzje Unix-basearre bestjoeringssystemen, ynklusyf macOS Big Sur en eardere ferzjes. Dizze sudo-kwetsberens yn macOS kin root-privileezjes jaan oan lokale brûkers.

Yn jannewaris hawwe feiligensûndersikers in nije kwetsberens iepenbiere dy't Unix-basearre bestjoeringssystemen kinne beynfloedzje. De exploit bestiet al teminsten 10 jier, lykwols is dit de earste bekende dokumintaasje derfan. It wurdt identifisearre as CVE-2021-3156, Sudo-basearre bufferoverloop. De eksploitaasje liket op in earder bug patched neamd CVE-2019-18634, Undersikers fan Qualys identifisearre de bug yn Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) en Fedora 33 (Sudo 1.9.2). Se sizze dat it oare bestjoeringssystemen en distribúsjes kin beynfloedzje dy't de troffen ferzje fan Sudo rinne. Alle legacyferzjes 1.8.2 oant 1.8.31p2 en alle stabile ferzjes 1.9.0 nei 1.9.5p1 wurde beynfloede.

Ja. Wy kinne in bytsje kalm wêze, om't brûkers neffens de ûndersikers tagong hawwe ta de kompjûter om de eksploitaasje út te fieren. Feiligensûndersiker Matthew Hickey, mei-oprjochter fan Hacker House kommintaar op ZDNet,  iepenbiere op woansdei dat de bug kin ek op Mac wurde eksploitearre.

Om it te aktivearjen, moatte jo gewoan argv [0] oerskriuwe of in symboalyske keppeling oanmeitsje, dus stelt it bestjoeringssysteem bleat foar deselde kwetsberens lokale root dy't Linux brûkers foar de lêste wike beynfloede hat.

https://twitter.com/hackerfantastic/status/1356645638151303169?s=20

Apple moat starte in befeiligingsupdate mei de patch op elk momint, mar brûkers kinne earder hannelje as wy it nedich achtsje. Fansels, nei it beteljen fan Qualys, dat in programma biedt dat útleit hoe de kwetsberens te patchjen. Wy leauwe net dat dit needsaaklik is, mar ek net oerstallich.


De ynhâld fan it artikel hâldt him oan ús prinsipes fan redaksje etyk, Om in flater te melden klikje hjir.

Wês de earste om kommentaar

Lit jo reaksje efter

Jo e-mailadres wurdt net publisearre. Ferplichte fjilden binne markearre mei *

*

*

  1. Ferantwurdlik foar de gegevens: Miguel Ángel Gatón
  2. Doel fan 'e gegevens: Control SPAM, kommentaarbehear.
  3. Legitimaasje: jo tastimming
  4. Kommunikaasje fan 'e gegevens: De gegevens wurde net oan tredden kommunisearre, útsein troch wetlike ferplichting.
  5. Gegevensopslach: Databank hoste troch Occentus Networks (EU)
  6. Rjochten: Op elk momint kinne jo jo ynformaasje beheine, herstelle en wiskje.