Старая уязвимость в macOS могла предоставить локальным пользователям права root

Manuel Alonso

2 минут

Уязвимость в macOS

Хотя эта уязвимость существует долгое время, а именно десятилетие, по крайней мере, именно сейчас было обнаружено, что ее использование может привести к значительному ущербу. Исследователи безопасности обнаружили эксплойт, который может повлиять на Операционные системы на основе Unix, включая macOS Big Sur и более ранние версии. Эта уязвимость sudo в macOS может предоставлять привилегии root локальным пользователям.

В январе исследователи безопасности обнаружили новую уязвимость, которая может повлиять на операционные системы на базе Unix. Эксплойт существует уже как минимум 10 лет, однако это первая известная его документация. Обозначается как CVE-2021-3156, Переполнение буфера на основе Sudo. Эксплойт похож на ошибку ранее исправлен под названием CVE-2019-18634. Исследователи из Qualys обнаружил ошибку в Ubuntu 20.04 (Sudo 1.8.31), Debian 10 (Sudo 1.8.27) и Fedora 33 (Sudo 1.9.2). Они говорят, что это может повлиять на другие операционные системы и дистрибутивы, в которых работает уязвимая версия Sudo. Это касается всех устаревших версий 1.8.2–1.8.31p2 и всех стабильных версий 1.9.0–1.9.5p1.

Да. Мы можем быть немного спокойными, потому что, по мнению исследователей, пользователям потребуется доступ к компьютеру для запуска эксплойта. Исследователь безопасности Мэтью Хики, соучредитель Hacker House прокомментировал ZDNet,  показал в среду, что ошибка также может быть использована на Mac.

Чтобы активировать его, вам просто нужно перезаписать argv [0] или создать символическую ссылку, таким образом подвергает операционную систему той же уязвимости локальный корень, который затронул пользователей Linux за последнюю неделю.

https://twitter.com/hackerfantastic/status/1356645638151303169?s=20

Apple должна запустить обновление безопасности с патчем в любое время, но пользователи могут действовать раньше, если мы сочтем это необходимым. Конечно, после оплаты в Qualys, которая предлагает программу, объясняющую, как исправить уязвимость. Мы не считаем, что это необходимо, но и не лишним.


Купить домен
Вы заинтересованы в:
Секреты успешного запуска вашего сайта

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.