免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 23101 | 回复: 1

Mac OS X 重大漏洞 改时钟获系统最高权限 [复制链接]

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:55:28
发表于 2013-09-02 09:29 |显示全部楼层
  
Mac OS X可能是目前最安全的一个计算机系统了,但这并不代表它无坚不催。它有时候也会有漏洞被黑客利用。在半年前,苹果Mac OS X中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。
而这个漏洞一直没有被苹果修复,据悉,OS X 10.7至10.8.4版该安全漏洞已经存在了将近半年的时间,安全漏洞测试工具Metasploit的开发人员现在创建了新的模块,从而可以更容易地发现Mac上的漏洞。该漏洞以Unix的“sudo”指令为基础,将允许或拒绝用户当前权限级别的操作。拥有最高级别权限的用户将可以访问其它用户的文件,尽管这些用户设置了密码保护。

在把计算机时钟设为1970年1月1日后,系统会按照Unix时间戳的计算方式,从该天的0时开始计算日期与时间,这同时也就让用户绕过了系统时间和权限的限制。
受该漏洞影响的系统有OS X 10.7至OS X 10.8. 虽然Linux操作系统也存在同样的问题,但大部分都为修改时钟增设了密码保护。而在OS X中调整日期和时间时需要提供密码,这让Mac变得很不安全。

不过事情也没这么可怕,想要通过该方法绕开授权验证,入侵者必须以管理员权限登录Mac,而且之前至少运行过一次sudo指令。美国国家漏洞数据库还强调到,试图获取最高权限的入侵者必须能够远程或是亲自登录目标计算机。

开源安全漏洞测试工具Metasploit的创始人、安全公司Rapid7的研究总监H.D. Moore说:这是一个重大的安全漏洞,任何级别的用户都可以通过它获得root权限。其它用户钥匙串中的密码将会暴露,入侵者将能够安装永久性的隐藏程序、木马。

虽然这个安全漏洞并不小,但目前苹果还未重视起来,之前苹果公司对待漏洞的态度上也跟此次一样。本系统将会由此受到影响。目前苹果官方尚未对这个漏洞发表正式回应。


转自 http://news.mydrivers.com/1/274/274555.htm

本文来自ChinaUnix新闻频道,如果查看原文请点:http://news.chinaunix.net/opensource/2013/0902/2920763.shtml

论坛徽章:
6
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-03 17:33:522015元宵节徽章
日期:2015-03-06 15:50:39IT运维版块每日发帖之星
日期:2016-01-11 06:20:00IT运维版块每日发帖之星
日期:2016-03-19 06:20:0019周年集字徽章-19
日期:2019-09-06 18:56:11
发表于 2013-09-02 22:56 |显示全部楼层
很危险,目前还未见apple发布补丁。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP