Bár ez a sebezhetőség már régóta létezik, legalábbis egy évtizede, most észlelték, hogy használata jelentős károkat okozhat. A biztonsági kutatók feltártak egy kihasználást, amely befolyásolhatja Unix alapú operációs rendszerek, köztük a macOS Big Sur és a korábbi verziók. Ez a macOS sudo biztonsági rése root jogosultságokat adhat a helyi felhasználóknak.
Megerősíthet a macOS Big Sur használatával az x86_64 és az aarch64 fájlokon egyaránt. pic.twitter.com/nQqQ8rskv7
- Will Dormann (@wdormann) Február 2, 2021
Januárban a biztonsági kutatók egy új sebezhetőséget tártak fel, amely hatással lehet a Unix-alapú operációs rendszerekre. A kizsákmányolás legalább 10 éve létezik, ennek azonban ez az első ismert dokumentációja. CVE-2021-3156, Sudo alapú puffer túlcsordulás. A kihasználás hasonlít egy korábbi hibához javított, CVE-2019-18634 nevű. Kutatók innen: Qualy's Az Ubuntu 20.04 (Sudo 1.8.31), a Debian 10 (Sudo 1.8.27) és a Fedora 33 (Sudo 1.9.2) hibákat azonosította. Szerintük ez befolyásolhatja a Sudo érintett verzióját futtató más operációs rendszereket és disztribúciókat. Ez érinti az összes régi verziót: 1.8.2–1.8.31p2 és az összes stabil verziót: 1.9.0–1.9.5p1.
Igen. Kicsit nyugodtak lehetünk, mert a kutatók szerint a felhasználóknak hozzáférniük kell a számítógéphez a kihasználáshoz. Matthew Hickey biztonsági kutató, a Hacker House társalapítója megjegyzést fűzött a ZDNet-hez, szerdán kiderült, hogy a hiba Mac-en is kihasználható.
Az aktiválásához csak felül kell írnia az argv [0] -ot, vagy létre kell hoznia egy szimbolikus linket ugyanazon biztonsági résnek teszi ki az operációs rendszert helyi gyökér, amely a Linux felhasználókat érintette az elmúlt héten.
https://twitter.com/hackerfantastic/status/1356645638151303169?s=20
Az Apple-nek el kellene indulnia biztonsági frissítés a javítással bármikor, de a felhasználók korábban is cselekedhetnek, ha szükségesnek tartjuk. Természetesen a Qualys kifizetése után, amely olyan programot kínál, amely elmagyarázza, hogyan kell foltozni a sérülékenységet. Nem hisszük, hogy erre szükség van, de nem is felesleges.
