OS X ha un debolezza nel sudo

Il comando nel terminale del Mac è ancora affetto da un baco. Con molte condizioni per essere sfruttato. Ma l'esistenza di codice specifico in Metasploit è un segnale d'allarme

Roma – Il noto comando da terminale sudo , incluso anche nei sistemi OS X, nel caso di questi ultimi è affetto da una vulnerabilità che Apple, a cinque mesi di distanza dalla scoperta, non ha ancora preso in debita considerazione: in certe condizioni, un malintenzionato potrebbe sfruttare il baco per elevare in maniera permanente i propri privilegi al livello “root” prendendo il pieno controllo del Mac preso di mira.

Il baco – corretto nelle versioni più recenti di sudo – ha origine dalla possibilità, su Mac, di accedere e modificare l’orologio di sistema senza richiedere una password: portando la data indietro nel tempo fino al primo gennaio 1970 , data fatidica per il mondo Unix e tutti i sistemi operativi da esso derivati (OS X incluso), si può confondere il sistema ottenendo i massimi privilegi di accesso con tutte le conseguenze che la cosa comporta.

Su buona parte delle distro Linux disponibili è necessario fornire una password per cambiare le impostazioni dell’orologio, ma la regola non vale su OS X. A salvare l’ecosistema Mac da una nuova epidemia di malware ci pensa il fatto che la vulnerabilità di sudo può essere sfruttata solo se l’utente attualmente loggato sul sistema ha privilegi di amministratore, e solo se il comando sudo è stato già eseguito almeno una volta in passato.

Nondimeno i ricercatori di sicurezza mettono in guardia dai rischi che una vulnerabilità non corretta da cinque mesi si porta dietro, rischi che potrebbero peggiorare le cose nei casi di una infezione via Web e che ora sono ancor più di tangibili con l’inclusione di un exploit dedicato allo sfruttamento del baco nel popolare framework Metasploit .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Gibbo scrive:
    HD 3D ...
    magari a livello di protocollo è il mogliore (personalmente non sono mai riuscito a valutarlo rispetto ai concorrenti perché con tutti i fattori che entrano in gioco in una conversaizione è impossibile. Lync sviluppato su Skype è ottimo, qui a lavoro lo usiamo per connetterci da qualche buco in giro per il mondo e i benchmark sono i migliori) ma comunque invece di pensare a panzate tipo HD, 3D, tanteD, rimettessero mano all'interfaccia utente (la chat in particolare, con gli spazi di conversazione ridimensionabili entro certi limiti e in posizione bloccata, ma soprattutto i caratteri: senza lo zoom con le risoluzioni attuali ti sguerci a scrivere due cose) e ai messaggi off-line (adesso occorre che gli interlocutori siano contemporaneamente online per scambiare un messaggio inviato quando il destinatario era offline) tanto per dirne 2. Personalemente aspetto una alternativa.
  • estero scrive:
    qualità
    dall'estero mi capita spesso di utilizza skype o facetime per chiamare casa. la qualità di facetime è una spanna sopra e in più, con l'ultimo aggiornamento, skype ha tolto (senza dir nulla) alcune di quelle funzioni utili che facevano preferire skype in certi contesti. purtroppo alternative altrettanto diffuse non ce n'è, ma si stanno affacciando, anche per videotelefonare via web: skype finirà male... segnatevi questo post e tornate a leggerlo tra 5 anni.
  • ... scrive:
    IL RITORNO DEGLI ALIENI
    [yt]y1zUkYeKk4k[/yt]
  • gio scrive:
    é il migliore
    skype é il migliore, io che vivo all'estero ho sempre avuto problemi a fare le video chiamate con messenger di msn e yahoo ai miei parenti in italia. Si bloccavano spesso, invece con skype scorre tutto liscio.
  • ruppolo scrive:
    10 anni?
    No, Skype ha avuto 8 anni, dal 2003 al 2011.Oggi è un prodotto Microsoft, quindi come tutti i prodotti di questa azienda e di Google, da tenere il più possibile lontano dalla nostra vita.
    • iRoby scrive:
      Re: 10 anni?
      Meglio solo quelli di Apple, l'azienda col minore rispetto del'utente (secondo EFF).Anch'io comunque Skype lo aborro e non voglio più vederlo.
      • Fai il login o Registrati scrive:
        Re: 10 anni?
        Io invece sono anni che lo uso e ne sono molto soddisfatto. Nel 2008 ho comprato un telefono skype della philips e fatto un abbonamento che con 36 euro all'anno mi da chiamate ai fissi illimitate, da quando c'è sul cellulare l'ho sempre acceso (a quando Skype x FirefoxOS?) e non ho mai avuto problemi con le videochiamate sulla mia Debian.
      • gio scrive:
        Re: 10 anni?
        mica usano tutti un mac, o altri dispositivi apple.
    • FreeBSD scrive:
      Re: 10 anni?
      un prodotto Microsoft, quindi come tutti iprodotti di questa azienda e di Google <b
      e di Apple </b
      , da tenereil più possibile lontano dalla nostravita.OK, ora è più preciso.
      • collione scrive:
        Re: 10 anni?
        no no no no, la Santa Apple, non sia mai :ohai osato profanare la divinità di ruppolo, adesso ne subirai le conseguenze :D
        • tucumcari scrive:
          Re: 10 anni?
          - Scritto da: collione
          no no no no, la Santa Apple, non sia mai :o

          hai osato profanare la divinità di ruppolo,
          adesso ne subirai le conseguenze
          :DSkife non mi interessa c'è una pletora di roba standard (SIP) che va benissimo sono sempre le solite gabole che puntano al "customer lock-in" attraverso protocolli proprietari.Non a caso quando si è trattato di comprare è stata la scelta di MS.
Chiudi i commenti