DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Apple's High Sierra không yêu cầu mật khẩu khi dùng quyền root
Sáng sớm nay, trên Twitter, một nhà nghiên cứu bảo mật đã viết một tweet báo cáo rằng, trong apple high sierra, khi dùng quyền root sẽ không yêu cầu mật khẩu.
Vấn đề này đã được báo cáo bởi Lemi Orhan Ergin, một nhà phát triển tới từ Istanbul, Thổ Nhĩ Kỳ. Trong dòng tweet, nhà nghiên cứu đã diễn tả chi tiết vấn đề về cách một user bình thường có thể truy cập quyền root mà không yêu cầu mật khẩu.
Sau khi được công bố, rất nhiều người dùng hệ điều hành MacOs đã kiểm tra và khẳng định lỗi này có tồn tại trên hệ thống của họ.
Nhà nghiên cứu cũng chưa xác định rõ lỗi này có ảnh hưởng tới các phiên bản MacOs thấp hơn Apple high Sierra hay không.
Những người đang sử dụng Apple high Sierra cần chú ý, bởi với đặc quyền root, kẻ tấn công có thể làm mọi thứ trên máy tính của bạn, từ việc đánh cắp file cũng như cài đặt backdoor lên hệ thông. Với quyền root hacker cũng có thể thiết lập VNC và Apple Remote Desktop. (Cách khai thác đã được public, do sự nguy hiểm của vấn đề, nên mình không viết ở đây.)
Lợi dụng lỗ hổng này, một nhà nghiên cứu từ Bugcrowd, đã có thể khai thác lỗ này từ xa, thiết lập remote code.
Apple đã khẳng định lỗi này, và tuyên bố đang làm việc để vá lỗ hổng này.
Vấn đề này đã được báo cáo bởi Lemi Orhan Ergin, một nhà phát triển tới từ Istanbul, Thổ Nhĩ Kỳ. Trong dòng tweet, nhà nghiên cứu đã diễn tả chi tiết vấn đề về cách một user bình thường có thể truy cập quyền root mà không yêu cầu mật khẩu.
Sau khi được công bố, rất nhiều người dùng hệ điều hành MacOs đã kiểm tra và khẳng định lỗi này có tồn tại trên hệ thống của họ.
Nhà nghiên cứu cũng chưa xác định rõ lỗi này có ảnh hưởng tới các phiên bản MacOs thấp hơn Apple high Sierra hay không.
Những người đang sử dụng Apple high Sierra cần chú ý, bởi với đặc quyền root, kẻ tấn công có thể làm mọi thứ trên máy tính của bạn, từ việc đánh cắp file cũng như cài đặt backdoor lên hệ thông. Với quyền root hacker cũng có thể thiết lập VNC và Apple Remote Desktop. (Cách khai thác đã được public, do sự nguy hiểm của vấn đề, nên mình không viết ở đây.)
Lợi dụng lỗ hổng này, một nhà nghiên cứu từ Bugcrowd, đã có thể khai thác lỗ này từ xa, thiết lập remote code.
Apple đã khẳng định lỗi này, và tuyên bố đang làm việc để vá lỗ hổng này.
Tham khảo: csoonline
Chỉnh sửa lần cuối: