找回密码
 骑士注册

QQ登录

微博登录

搜索
❏ 站外平台:

Linux中国开源社区 新闻 查看内容

OS X 重大安全漏洞:可通过修改时钟获取系统最高权限

2013-08-30 09:24    评论: 2    

约半年前,苹果Mac OS X中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间戳设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。该漏洞一直没有被修复,受影响的系统有OS X 10.7~10.8.4,苹果目前并没有做出回应。

https://dn-linuxcn.qbox.me/data/attachment/album/201308/30/092409d6ysd9yy99ytt8mt.jpg

该安全漏洞已经存在了将近半年的时间,安全漏洞测试工具Metasploit的开发人员现在创建了新的模块,从而可以更容易地发现Mac上的漏洞。该漏洞以Unix的“sudo”指令为基础,将允许或拒绝用户当前权限级别的操作。拥有最高级别权限的用户将可以访问其它用户的文件,尽管这些用户设置了密码保护。

利用该漏洞的方法

在把计算机时钟设为1970年1月1日后,系统会按照Unix时间戳的计算方式,从该天的0时开始计算日期与时间,这同时也就让用户绕过了系统时间和权限的限制。

受该漏洞影响的系统有OS X 10.7至OS X 10.8. 虽然Linux操作系统也存在同样的问题,但大部分都为修改时钟增设了密码保护。而在OS X中调整日期和时间时需要提供密码,这让Mac变得很不安全。

不过事情也没这么可怕,想要通过该方法绕开授权验证,入侵者必须以管理员权限登录Mac,而且之前至少运行过一次sudo指令。美国国 家漏洞数据库还强调到,试图获取最高权限的入侵者必须能够远程或是亲自登录目标计算机。

开源安全漏洞测试工具Metasploit的创始人、安全公司Rapid7的研究总监H.D. Moore说:这是一个重大的安全漏洞,任何级别的用户都可以通过它获得root权限。其它用户钥匙串中的密码将会暴露,入侵者将能够安装永久性的隐藏程序、木马。

苹果目前并没有对此做出回应,Moors说道:我认为苹果应该严肃对待该问题,考虑到他们之前对漏洞问题的回应速度,这次回应缓慢也并不令人吃惊。

最新评论

我也要发表评论

微博评论 2013-08-30 11:50 回复
在漏洞修复上就体现出开源软件的优势了

来自 shanlinzi 的新浪微博
微博评论 2013-09-03 09:40 回复
@TookDES : Linux 修改时间需要 root 权限,我怎么没发现O.O?就算是真的,难道修改时间还需要 root 权限很人性化吗?我记得 Linus 上次说 openSUSE 讨厌,她女儿没有 root 密码无法添加学校的打印机。在我看来,这些常规操作就不应该需要 root 权限,即使出于安全考虑,但那是你的问题,不应该转嫁到用户头上。

收藏

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。