Apple ha fatto un lavoro encomiabile con la patch di Mac, per le falle di sicurezza del sistema operativo. Numerose sono state le falle trovate precedentemente, bug ed exploit che riuscivano a sviare le misure di sicurezza di Apple. E proprio quando si pensava che Lion non poteva essere drasticamente compromesso, arriva un nuovo exploit basato su un vecchio tallone d’Achille di Apple: il sistema delle autorizzazioni in OS X.
CNET avverte che qualsiasi utente (in locale) su una macchina Lion può facilmente cambiare le password di qualsiasi altro account locale, senza privilegi di amministratore – davvero inquietante, vero?
La scoperta è stata postata sul Blog Defence in Depth , dove viene spiegato che nei servizi di directory di Lion non è più richiesta l’autenticazione quando si effettua una modifica della password per l’utente corrente:
Nella riprogettazione dello schema di autenticazione di OS X Lion, un passo fondamentale è stato trascurato. Oltre che gli utenti non-root sono in grado di accedere ai file nascosti, Lion offre, anche la possibilità di visualizzare i dati has relativi alla password. Questo si ottiene estraendo i dati direttamente dalla Directory Services.
Tecnicamente, gente un pò più esperta potrebbe trovare anche altro, oltre ad una semplice password d’accesso. Vi possiamo garantire che funziona, abbiamo provato anche noi, prima di pubblicare questo articolo.
Ora che Apple è stata avvertita ed è pienamente consapevole della situazione, attenderemo con ansia una release 10.7.2 con la risoluzione di questa falla potenzialmente pericolosa.
Di seguito trovate la notizia del sito con la dicitura : Cracking OS X Lion Passwords
Pacman
Nostradamus
Magical Cat Adventure
Snake