Chociaż luka ta istnieje od dawna, a konkretnie co najmniej dekady, to teraz wykryto, że jej użycie może prowadzić do znacznych szkód. Badacze bezpieczeństwa ujawnili exploit, który może mieć wpływ Systemy operacyjne oparte na Uniksie, w tym macOS Big Sur i wcześniejsze wersje. Ta luka sudo w systemie macOS może nadać uprawnienia administratora lokalnym użytkownikom.
Potwierdza to w systemie MacOS Big Sur na platformach x86_64 i aarch64. pic.twitter.com/nQqQ8rskv7
- Will Dormann (@wdormann) 2 lutego 2021 r.
W styczniu analitycy bezpieczeństwa ujawnili nową lukę, która może mieć wpływ na systemy operacyjne oparte na Uniksie. Exploit istnieje od co najmniej 10 lat, jednak jest to pierwsza znana jego dokumentacja. Jest identyfikowany jako CVE-2021-3156, Przepełnienie bufora oparte na Sudo. Exploit wygląda podobnie do poprzedniego błędu załatane o nazwie CVE-2019-18634. Badacze z Qualy's zidentyfikował błąd w Ubuntu 20.04 (Sudo 1.8.31), Debianie 10 (Sudo 1.8.27) i Fedorze 33 (Sudo 1.9.2). Mówią, że może to wpłynąć na inne systemy operacyjne i dystrybucje, na których działa wersja Sudo, której dotyczy problem. Dotyczy to wszystkich starszych wersji 1.8.2 do 1.8.31p2 i wszystkich stabilnych wersji 1.9.0 do 1.9.5p1.
Tak. Możemy być trochę spokojni, ponieważ według badaczy użytkownicy będą potrzebować dostępu do komputera, aby uruchomić exploita. Badacz bezpieczeństwa Matthew Hickey, współzałożyciel Hacker House skomentował ZDNet, ujawnił w środę, że błąd można również wykorzystać na komputerze Mac.
Aby go aktywować, wystarczy nadpisać argv [0] lub utworzyć w ten sposób dowiązanie symboliczne naraża system operacyjny na tę samą lukę lokalny root, który miał wpływ na użytkowników Linuksa przez ostatni tydzień.
https://twitter.com/hackerfantastic/status/1356645638151303169?s=20
Apple powinno się uruchomić aktualizacja zabezpieczeń wraz z poprawką w dowolnym momencie, ale użytkownicy mogą działać wcześniej, jeśli uznamy to za konieczne. Oczywiście po dokonaniu płatności firmie Qualys, która oferuje program, w którym wyjaśnia, jak załatać lukę. Nie uważamy, że jest to konieczne, ale też nie jest to konieczne.
