ຊ່ອງໂຫວ່ເກົ່າໃນ macOS ສາມາດໃຫ້ສິດທິພິເສດແກ່ຜູ້ໃຊ້ທ້ອງຖິ່ນ

ຄວາມອ່ອນແອໃນ macOS

ເຖິງແມ່ນວ່າຄວາມອ່ອນແອນີ້ມີຢູ່ເປັນເວລາດົນນານ, ໂດຍສະເພາະ ໜຶ່ງ ທົດສະວັດ, ຢ່າງ ໜ້ອຍ ກໍ່ຕາມ, ດຽວນີ້ມັນໄດ້ຖືກກວດພົບວ່າການ ນຳ ໃຊ້ມັນສາມາດສ້າງຄວາມເສຍຫາຍທີ່ ສຳ ຄັນ. ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພໄດ້ເປີດເຜີຍການຂູດຮີດທີ່ສາມາດສົ່ງຜົນກະທົບ ລະບົບປະຕິບັດການທີ່ໃຊ້ Unix, ລວມທັງ macOS Big Sur ແລະລຸ້ນກ່ອນ ໜ້າ ນີ້. ຈຸດອ່ອນຂອງລະບົບປະຕິບັດການ macOS ນີ້ສາມາດໃຫ້ສິດທິພິເສດແກ່ຜູ້ຊົມໃຊ້ທ້ອງຖິ່ນ.

ໃນເດືອນມັງກອນ, ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພໄດ້ເປີດເຜີຍຈຸດອ່ອນ ໃໝ່ ທີ່ສາມາດສົ່ງຜົນກະທົບຕໍ່ລະບົບປະຕິບັດການທີ່ໃຊ້ Unix. ການຂູດຮີດແມ່ນມີມາເປັນເວລາຢ່າງ ໜ້ອຍ 10 ປີ, ເຖິງຢ່າງໃດກໍ່ຕາມນີ້ແມ່ນເອກະສານ ທຳ ອິດທີ່ຮູ້ມາກ່ອນ. ມັນຖືກລະບຸວ່າເປັນ CVE-2021-3156, Sudo overer overflow. ການຂູດຮີດເບິ່ງຄ້າຍຄືກັບຂໍ້ບົກພ່ອງທີ່ຜ່ານມາ patched ເອີ້ນວ່າ CVE-2019-18634. ນັກຄົ້ນຄວ້າຈາກ ຄຸນນະພາບ ລະບຸຂໍ້ບົກພ່ອງໃນ Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) ແລະ Fedora 33 (Sudo 1.9.2). ພວກເຂົາເວົ້າວ່າມັນສາມາດສົ່ງຜົນກະທົບຕໍ່ລະບົບປະຕິບັດການແລະການແຈກຢາຍອື່ນໆທີ່ ນຳ ໃຊ້ໂປແກຼມ Sudo ທີ່ຖືກກະທົບ. ສະບັບມໍລະດົກທັງ ໝົດ 1.8.2 ເຖິງ 1.8.31p2 ແລະລຸ້ນທີ່ຄົງທີ່ທັງ ໝົດ 1.9.0 ເຖິງ 1.9.5p1 ແມ່ນໄດ້ຮັບຜົນກະທົບ.

ແມ່ນແລ້ວ. ພວກເຮົາສາມາດສະຫງົບງຽບ, ເພາະວ່າອີງຕາມນັກຄົ້ນຄວ້າ, ຜູ້ໃຊ້ຈະຕ້ອງການການເຂົ້າເຖິງຄອມພິວເຕີ້ເພື່ອ ດຳ ເນີນການຂູດຮີດ. ນັກຄົ້ນຄວ້າດ້ານຄວາມປອດໄພ Matthew Hickey, ຜູ້ຮ່ວມກໍ່ຕັ້ງບ້ານແຮກເກີ ມີ ຄຳ ເຫັນກ່ຽວກັບ ZDNet,  ເປີດເຜີຍໃນວັນພຸດວ່າ ຂໍ້ບົກພ່ອງກໍ່ສາມາດຖືກຂູດຮີດໃນ Mac.

ເພື່ອເປີດໃຊ້ມັນ, ທ່ານພຽງແຕ່ຕ້ອງຂຽນທັບ argv [0] ຫຼືສ້າງລິ້ງທີ່ມີສັນຍາລັກ, ດັ່ງນັ້ນ exposes ລະບົບປະຕິບັດການເພື່ອຄວາມສ່ຽງດຽວກັນ ຮາກທ້ອງຖິ່ນທີ່ສົ່ງຜົນກະທົບຕໍ່ຜູ້ໃຊ້ Linux ໃນອາທິດທີ່ຜ່ານມາ.

https://twitter.com/hackerfantastic/status/1356645638151303169?s=20

Apple ຄວນເປີດຕົວ ການປັບປຸງຄວາມປອດໄພກັບເວລາໃດກໍ່ໄດ້, ແຕ່ຜູ້ໃຊ້ສາມາດປະຕິບັດກ່ອນ ໜ້າ ນີ້ຖ້າພວກເຮົາຖືວ່າມັນ ຈຳ ເປັນ. ແນ່ນອນ, ຫຼັງຈາກທີ່ຈ່າຍຄ່າ Qualys, ເຊິ່ງສະເຫນີໂຄງການທີ່ອະທິບາຍວິທີການແກ້ໄຂຈຸດອ່ອນ. ພວກເຮົາບໍ່ເຊື່ອວ່າສິ່ງນີ້ ຈຳ ເປັນ, ແຕ່ມັນກໍ່ບໍ່ ຈຳ ເປັນ.


ເນື້ອໃນຂອງບົດຂຽນຍຶດ ໝັ້ນ ຫລັກການຂອງພວກເຮົາ ຈັນຍາບັນຂອງບັນນາທິການ. ເພື່ອລາຍງານການກົດຜິດພາດ ທີ່ນີ້.

ເປັນຄົນທໍາອິດທີ່ຈະໃຫ້ຄໍາເຫັນ

ອອກ ຄຳ ເຫັນຂອງທ່ານ

ທີ່ຢູ່ອີເມວຂອງທ່ານຈະບໍ່ໄດ້ຮັບການຈັດພີມມາ. ທົ່ງນາທີ່ກໍານົດໄວ້ແມ່ນຫມາຍດ້ວຍ *

*

*

  1. ຮັບຜິດຊອບຕໍ່ຂໍ້ມູນ: Miguel ÁngelGatón
  2. ຈຸດປະສົງຂອງຂໍ້ມູນ: ຄວບຄຸມ SPAM, ການຈັດການ ຄຳ ເຫັນ.
  3. ກົດ ໝາຍ: ການຍິນຍອມຂອງທ່ານ
  4. ການສື່ສານຂໍ້ມູນ: ຂໍ້ມູນຈະບໍ່ຖືກສື່ສານກັບພາກສ່ວນທີສາມຍົກເວັ້ນໂດຍພັນທະທາງກົດ ໝາຍ.
  5. ການເກັບຂໍ້ມູນ: ຖານຂໍ້ມູນທີ່ຈັດໂດຍ Occentus Networks (EU)
  6. ສິດ: ໃນທຸກເວລາທີ່ທ່ານສາມາດ ຈຳ ກັດ, ກູ້ຄືນແລະລຶບຂໍ້ມູນຂອງທ່ານ.