OS X 重大安全漏洞:可通过修改时钟获取系统最高权限
约半年前,苹果Mac OS X中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间戳设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。该漏洞一直没有被修复,受影响的系统有OS X 10.7~10.8.4,苹果目前并没有做出回应。
该安全漏洞已经存在了将近半年的时间,安全漏洞测试工具Metasploit的开发人员现在创建了新的模块,从而可以更容易地发现Mac上的漏洞。该漏洞以Unix的 sudo 指令为基础,将允许或拒绝用户当前权限级别的操作。拥有最高级别权限的用户将可以访问其它用户的文件,尽管这些用户设置了密码保护。
利用该漏洞的方法
在把计算机时钟设为1970年1月1日后,系统会按照Unix时间戳的计算方式,从该天的0时开始计算日期与时间,这同时也就让用户绕过了系统时间和权限的限制。
受该漏洞影响的系统有OS X 10.7至OS X 10.8. 虽然Linux操作系统也存在同样的问题,但大部分都为修改时钟增设了密码保护。而在OS X中调整日期和时间时需要提供密码,这让Mac变得很不安全。
不过事情也没这么可怕,想要通过该方法绕开授权验证,入侵者必须以管理员权限登录Mac,而且之前至少运行过一次sudo指令。美国国 家漏洞数据库还强调到,试图获取最高权限的入侵者必须能够远程或是亲自登录目标计算机。
开源安全漏洞测试工具Metasploit的创始人、安全公司Rapid7的研究总监H.D. Moore说:这是一个重大的安全漏洞,任何级别的用户都可以通过它获得root权限。其它用户钥匙串中的密码将会暴露,入侵者将能够安装永久性的隐藏程序、木马。
苹果目前并没有对此做出回应,Moors说道:我认为苹果应该严肃对待该问题,考虑到他们之前对漏洞问题的回应速度,这次回应缓慢也并不令人吃惊。
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/46629.html
linux开源相关文章
- os类库常用操作
- mac os x安装教程_OS X EI Capitan
- 客观评价华为的OS鸿蒙系统
- 忘记英文单词拼写怎么办?试试OS X 系统的英文补全功能
- ORA-48186: OS check file exists system call failure ORACLE 报错 故障修复 远程处理
- SqlServer应用之sys.dm_os_waiting_tasks 引发的疑问(中)
- 令人惊喜:U盘安装Mac OS系统变得可能了!(u盘安装macos)
- python的os模块fnmatch模块介绍详解编程语言
- Ubuntu Touch: Ubuntu智能手机OS已准备就绪
- 苹果发布OS X Mavericks系统发布 彻底免费
- 如果我实现了自己的OS,我算开发者中的精英吗?
- 2017 年 Windows 将被苹果 iOS/OS X 超越,沦为第三大操作系统
- 苹果发布 OS X 10.10 Yosemite 的 Darwin 开源代码
- Firefox OS 手机已死,但它还将计划用于其他硬件
- 开源新闻速递:elementary OS 0.4 正式发布
- OS X平台的Dylib劫持技术(上)
- 逆向基础 OS-specific (四)
- 逆向基础 OS-specific (二)
- Collapse OS:为世界末日创建的操作系统
- MPlayer是一款开源的多媒体播放器,以GNU通用公共许可证发布。此款软件可在各主流操作系统使用,例如Linux和其他类Unix操作系统、微软的Windows系统及苹果电脑的Mac OS X系统。MPlayer是建基于命令行界面,在各操作系统可选择安装不同的图形界面。
- 系统特性探索Mac OS最新版系统的特性(新版macos)
- Exploring the Advantages of Linux OS for Your Computing Needs!(linux.os)
- 鸿蒙OS用户量和生态初具规模:成为第三大系统指日可待
- 架构深入揭秘Mac OS的内核架构(macos的内核)
- Mac OS和Linux系统的分别之处(mac和linux的区别)
- 谷歌安全团队发现OS X和iOS系统内核漏洞,苹果修复逾期
- Python学习笔记之os模块使用总结
- Causedby:android.os.NetworkOnMainThreadException错误解决办法