Mac OS X 惊现漏洞 改时钟获系统最高权限

系统 MacOS
在半年前,苹果Mac OS X中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。据悉,OS X 10.7至10.8.4版该安全漏洞已经存在了将近半年的时间。

Mac OS X可能是目前最安全的一个计算机系统了,但这并不代表它无坚不催。在半年前,苹果Mac OS X中一个地址不明的安全漏洞被发现,恶意入侵者可通过修改用户的时钟,利用时间设置来绕开系统的常规授权验证方式,从而获得读取计算机所有文件的最高权限。

而这个漏洞一直没有被苹果修复,据悉,OS X 10.7至10.8.4版该安全漏洞已经存在了将近半年的时间,安全漏洞测试工具Metasploit的开发人员现在创建了新的模块,从而可以更容易地发 现Mac上的漏洞。该漏洞以Unix的“sudo”指令为基础,将允许或拒绝用户当前权限级别的操作。拥有最高级别权限的用户将可以访问其它用户的文件, 尽管这些用户设置了密码保护。

在把计算机时钟设为1970年1月1日后,系统会按照Unix时间戳的计算方式,从该天的0时开始计算日期与时间,这同时也就让用户绕过了系统时间和权限的限制。

受该漏洞影响的系统有OS X 10.7至OS X 10.8. 虽然Linux操作系统也存在同样的问题,但大部分都为修改时钟增设了密码保护。而在OS X中调整日期和时间时需要提供密码,这让Mac变得很不安全。

不过事情也没这么可怕,想要通过该方法绕开授权验证,入侵者必须以管理员权限登录Mac,而且之前至少运行过一次sudo指令。美国国家漏洞数据库还强调到,试图获取最高权限的入侵者必须能够远程或是亲自登录目标计算机。

开源安全漏洞测试工具Metasploit的创始人、安全公司Rapid7的研究总监H.D. Moore说:这是一个重大的安全漏洞,任何级别的用户都可以通过它获得root权限。其它用户钥匙串中的密码将会暴露,入侵者将能够安装永久性的隐藏程序、木马。

虽然这个安全漏洞并不小,但目前苹果还未重视起来,之前苹果公司对待漏洞的态度上也跟此次一样。本系统将会由此受到影响。目前苹果官方尚未对这个漏洞发表正式回应。

责任编辑:黄丹 来源: 驱动之家
相关推荐

2013-08-29 15:24:36

2016-08-29 21:09:32

2012-05-28 15:17:23

Mac OS操作系统

2014-11-06 09:52:33

2011-09-28 10:12:06

Mac OS X

2015-03-19 14:22:40

2013-02-26 09:14:52

2010-11-29 14:05:29

2009-09-04 21:21:17

2012-02-17 09:21:22

Mac OS X

2015-02-26 14:40:11

2013-06-05 13:56:11

2021-10-24 08:24:34

WinRAR远程代码漏洞

2010-08-25 11:05:03

2016-01-04 10:18:26

软件漏洞2015

2014-06-03 16:59:22

OS XOS X Yosemi

2009-02-26 18:59:07

2009-05-05 09:10:46

2014-10-24 13:38:02

北京地铁收费系统漏洞

2012-02-17 14:41:12

Mac OS XOS XiOS
点赞
收藏

51CTO技术栈公众号