OS X 10.7, l’ultima revisione del sistema operativo marcato Apple finalizzata lo scorso luglio, è affetto da una vulnerabilità strutturale capace di semplificare – e non di poco – la vita a chi intendesse mettere le mani sulle password di un sistema Mac alla sua portata.
Il blogger Patrick Dunstan ha identificato il problema revisionando un suo articolo sul cracking delle password su Mac OS X, scoprendo che Lion 10.7 peggiora la sicurezza del sistema in due casi specifici: nel primo, Apple ha deciso di permettere la modifica della password dell’utente corrente senza prima chiedere la password attuale – in pratica chiunque avesse accesso al Mac in oggetto potrebbe cambiare la parola chiave a proprio totale piacimento.
“Per cambiare la password dell’utente corrente”, spiega Dunstan, “basta usare: $ dscl localhost -passwd /Search/Users/nomeutente”. L’altro problema risiede risiede nell’accesso agli hash delle password degli altri utenti registrati sul sistema, registrati nei cosiddetti “shadow file” e accessibili a tutti gli utenti indipendentemente dai privilegi di accesso di cui sono dotati.
In attesa di una patch risolutiva sviluppata da Apple, la cronaca sulle vulnerabilità di giornata comprende anche una falla di tipo Cross-Site-Scripting (XSS) nel client Skype per iOS (iPhone/iPad). In questo caso Cupertino dice di essere già alacremente al lavoro per risolvere il problema.