Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/09/2011
Fallada en Mac OSX Lion permet obtindre contrasenyes d'usuari
Usuaris estàndard sense privilegis de root, poden accedir a les contrasenyes hash d'altres usuaris i modificar-les només tenint accés físic a l'equipament.
La fiabilitat del sistema operatiu dels ordinadors Mac ha tornat a quedar en dubte i, aquesta vegada, en la seua versió més recent. I és que l'expert en seguretat, Patrick Dunstan, ha descobert que Lion permet, a usuaris estàndard sense privilegis de d'arrel (root), modificar les contrasenyes d'altres comptes locals amb prou facilitat.
Per a protegir el sistema, els usuaris poden desactivar opcions com l'inici de sessió automàtic.
El problema radica en que tots els usuaris poden realitzar recerques sobre els serveis de directori del sistema, lloc on Lion emmagatzema les contrasenyes. Com a resultat, els valors hash poden ser extrets i executar-se a través de diversos scripts només tenint accés físic a la màquina.
Açò implica que, a més, qualsevol persona amb coneixements de hacking, pot canviar directament la contrasenya de la resta d'usuaris teclejant un simple comandament en el Terminal, la d'administrador inclosa. I, finalment, guanyar accés complet al sistema.
Fins que Apple cas un pegat per a solucionar aquest problema, els usuaris poden aplicar una sèrie de mesures de seguretat, com desactivar l'opció automàtica d'inici de sessió, esborrar els comptes d'invitats o habilitar les contrasenyes de salvapantalles i mode suspensió.