OS X Lion хранит пароли в незашифрованном виде

Данный просчет ведет к тому, что пароли хранятся в виде простого текста. Под действие опасности в частности попадают пользователи Snow Leopard, использовавшие опцию шифрования FileVault для своих домашних директорий, и затем проапгредившиеся на Lion, но не активировавшие шифрование FileVault 2 для всего диска.

10.05.2012 17:21
OS X Lion хранит пароли в незашифрованном виде

По данным блога Sophos Naked Security, похоже, что отладочная опция случайно осталась включенной в самой последней версии Mac OS X 10.7.3. В результате включенным остался системный лог, содержащие пароли – в виде текста – всех пользователей, кто входил в систему с момента обновления.

Данный лог хранит пароли пользователей вне зашифрованной области в течение нескольких недель, и при этом он доступен всем, кто имеет права администратора. К данным в этом логе также можно получить доступ, загрузив машину в дисковый режим FireWire, работающий как жесткий диск для другого компьютера, или если пользователь использует оболочку (shell) супер-пользователя из раздела восстановления для монтирования основного раздела файловой системы.

По всей видимости, изначально данная уязвимость была замечена пользователем "tarwinator" с форума Apple Support Communities, причем менее чем через неделю после выпуска Lion, 1-го февраля. Однако до прошлой недели никто на проблему не отреагировал. Кстати, Apple пока свое решение не представила.

В настоящее время, тем, кто использует устаревшую версию FileVault, предлагается выполнить шифрование всего диска при помощи Apple FileVault 2, и подчистить все резервные копии уязвимой платформы, как и удалить файл /var/log/secure.log. Также было бы не плохо сменить свой пароль, особенно, если вы делаете резервные копии на внешние диски или облачные хранилища, куда вышеупомянутый лог мог также попасть.

Оцените материал:  
(Нет голосов)

Каждый вечер мы будем присылать вам одно письмо со всеми опубликованными за день материалами. Нет материалов - нет писем, просто и удобно (другие варианты).

Материалы по теме


Комментарии (0)