几乎没有意识到 Apple已修复sudo命令中的现有漏洞。 上周发现的它已经得到纠正,因此您不必太担心它可能引发的后果。
问题不仅在于运行macOS的终端,甚至不是所有具有macOS的终端。 Linux操作系统。 Mac基于此系统,因此受到了影响。
sudo漏洞使其他人可以控制计算机
该实用程序的作用是什么:Sudo用于组织和授予对单个程序的管理权限或代表其他用户的命令执行权限。 该漏洞列为CVE-2019-18634, 允许增加他们的特权 在系统上为root用户。
这个漏洞 是由Apple安全员工Joe Vennix发现的。 基本上,所做的是,通常没有权限执行任务且需要管理访问权限的任何用户都可以这样做。
sudo实用程序的受污染版本为1.7.1,但 1.8.31已经发布; 此外,该 帕萨达 苹果发布了补丁更新 适用于macOS High Sierra 10.13.6,macOS Mojave 10.14.6和 macOS卡塔利娜10.15.2; 这样就解决了问题。
最大的问题之一是 缺少pwfeedback模式的自动关闭 而且,由于攻击者可以完全控制堆栈上数据的覆盖,因此创建一个利用漏洞增加root用户特权的漏洞就不难了。
为了什么 强烈建议验证此实用程序的安装版本 并确认它是最新版本以避免此问题。
最重要的是你必须 验证配置/pwfeedback 不在 / etc / sudoers 并在必要时将其停用。
问题不仅出在运行macOS的终端,甚至不是所有装有Linux操作系统的终端。 Mac基于此系统,因此受到了影响。
这是一个巨大的误解,macOS不是基于Linux,而是Unix系统。
您应该说出如何对Mac上的大多数新手执行此操作。