Rootpipe - Википедия - Rootpipe

Тамыр құбыры - кейбір нұсқаларында кездесетін қауіпсіздік осалдығы OS X бұл мүмкіндік береді артықшылықты күшейту осы арқылы әкімшілік құқықтары бар пайдаланушы немесе әкімшілік қолданушы орындайтын бағдарлама ала алады супер пайдаланушы (root) қол жетімділік. Бұл проблемалы болып саналады, өйткені OS X шеңберінде құрылған бірінші пайдаланушы тіркелгісі әдепкі бойынша әкімші құқығымен қамтамасыз етілген.^[1] Жүйеде қауіпсіздіктің басқа осалдықтарын, мысалы, жіберілмеген веб-шолғышты пайдалану арқылы, rootpipe операциялық жүйені толық басқаруға көмектесу үшін шабуылдаушы қолдануы мүмкін.^[1]

Қауіпсіздік фирмасы TrueSec-тен Эмиль Кварнхаммар жаңалық ашқан деп сендіреді, осалдықты бірнеше күндік екілік талдаудан кейін тапқанын айтады. Ол кәдімгі күнделікті жұмыс үшін пайдалану үшін әкімшілік артықшылықтарсыз тіркелгі құруды және оны пайдалануды ұсынады FileVault.^[1]

Дәл сол шығарылымға арналған бұрынғы эксплуатация кейінірек exploit-db сайтында жарияланды^[2] Шығарылымды ұсыну 2010 жылдың маусым айынан басталған. Бұл эксплуатацияны презентация кезінде автор қолданған көрінеді Сенім білдіруші Есеп 44con 2011 ^[3].

Осалдық туралы хабарланды Apple Inc. 2014 жылдың қазанында,^[4] туралы хабарланды OS X 10.7.5, 10.8.2, 10.9.5 және 10.10.2 нұсқалары.^[5] OS X 10.10.3 ресми түрде Apple компаниясы патч деп белгіленді, бірақ Кварнхаммар (Патрик Уардлды есепке алып) осалдық сол нұсқада әлі де бар деп блог жүргізді.^[6]^[7] 2015 жылдың 1 шілдесінде Кварнхаммер OS X 10.10.4-те қосымша шектеулер енгізілгенін атап өтіп, екі күннен кейін өз түсініктемесінде OS X 10.9 (Security Update 2015-005) және 10.10 нұсқаларына сенетіндігін екі күннен кейін түсіндірді. қанаудан сақтаныңыз.^[8]

2017 жылдың қараша айында парольсіз root ретінде кіруге мүмкіндік беретін осындай осалдық анықталды.^[9]

Әдебиеттер тізімі

^ ^а ^б ^в Надин Джулиана Дресслер. «Rootpipe немесе Super Passer-Rechte ohne Passwort am Mac».
^ «Apple Mac OSX <10.9 / 10 - артықшылықты бағалау». пайдалану-дб. 13 сәуір 2015.
^ «Сенімгер рапорт, Нил Кетл - 44CON 2011». youtube. 23 қазан 2011 ж.
^ «Швед хакері OS X Yosemite-тен» маңызды «осалдық тапты». Macworld. 31 қазан 2014 ж.
^ Фабиан Шершел ([email protected]) (2015-04-18). «Root-Lücke OS X». c't. Хейзе. 2015 (10): 49.
^ «OS X 10.10.3 әлі де осал».
^ Krystle Vermes (21 сәуір 2015). «Rootpipe жалғасуда: NSA-ның бұрынғы қызметкері Mac-тің осалдығын тапты - Digital Trends». Сандық трендтер.
^ «Rootpipe қайтадан пайдалану».
^ «Apple парольдің негізгі қатесін жоюға асығады». BBC.

[wf-1] а ^б ^в Надин Джулиана Дресслер. «Rootpipe немесе Super Passer-Rechte ohne Passwort am Mac».

[2] «Apple Mac OSX <10.9 / 10 - артықшылықты бағалау». пайдалану-дб. 13 сәуір 2015.

[3] «Сенімгер рапорт, Нил Кетл - 44CON 2011». youtube. 23 қазан 2011 ж.

[4] «Швед хакері OS X Yosemite-тен» маңызды «осалдық тапты». Macworld. 31 қазан 2014 ж.

[5] Фабиан Шершел ([email protected]) (2015-04-18). «Root-Lücke OS X». c't. Хейзе. 2015 (10): 49.

[6] «OS X 10.10.3 әлі де осал».

[7] Krystle Vermes (21 сәуір 2015). «Rootpipe жалғасуда: NSA-ның бұрынғы қызметкері Mac-тің осалдығын тапты - Digital Trends». Сандық трендтер.

[8] «Rootpipe қайтадан пайдалану».

[9] «Apple парольдің негізгі қатесін жоюға асығады». BBC.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]