منبع اصلی نوشتار زیر در این لینک قرار دارد

یک باگ حل‌نشده در مک اواس اجازه دسترسی به sudo را فراهم می‌کند

یک حفره امنیتی کم اهمیت که پس از گذشت چند ماه از کشف آن هنوز در سیستم‌عامل مک حل نشده باقی مانده‌است، اجازه دسترسی کامل به sudo بدون نیاز به رمز عبور را با دستکاری در تاریخ کامپیوتر می‌دهد.
این حفره امنیتی مربوط سیستم احراز هویت sudo نسخه ۱.۶ می‌باشد که در سیستم‌عامل مک نسخه‌های ۱۰.۸، ۱۰.۷ و احتمالا نسخه‌های قبلی مورد استفاده قرار گرفته‌است. براساس این حفره امنیتی با ریست کردن تاریخ کامپیوتر به اول ژانویه ۱۹۷۰ که به عنوان تاریخ مبدا یونیکس شناخته می‌شود دیگر درخواست ورود رمز عبور برای استفاده از sudo به کاربر داده نخواهدشد.

البته برای تغییر تاریخ کامپیوتر نیاز به رمز عبور می‌باشد و احتمالا به همین دلیل بوده که این آسیب‌پذیری از نظر اپل کم‌اهمیت می‌باشد و با وجود گذشت چند ماه از انتشار آن هنوز به‌روزرسانی‌ای جهت رفع آن ارائه داده نشده‌است.

در یک سناریو احتمالی باید در نظر داشت در هر بار وارد کردن رمز عبور برای sudo به مدت ۱۰ دقیقه در صورتی که جلسه کاری توسط کاربر بسته نشود، sudo اجازه استفاده بدون رمز عبور را برای راحتی به کاربر می‌دهد. حال در صورتی که پیش از پایان زمان ۱۰ دقیقه‌ای فرد دیگری بدون اجازه به این جلسه باز، دسترسی داشته باشد می‌تواند با استفاده از دستور systemsetup تاریخ کامپیوتر را تغییر دهد و اجازه دسترسی به sudo بدون رمز عبور را فراهم کند.

منبع اصلی خبر

Google+ Google+ Google+



به سیاره لینوکس امتیاز دهید

به اين صفحه امتياز دهيد