这一问题首先由《深度博客》的作者帕特里克·邓斯坦(Patrick Dunstan)提出 。命令行程序dscl是与目录服务节点交互的多用途实用程序 。事实证明,它不仅可以被用来检索密码的散列版本(这使得恶意攻击者更容易尝试并暴力使用密码),而且更令人担忧的是,它还可以在不需要当前密码的情况下更改用户密码 。
当然,适用警告:为了使其工作,攻击者需要对登录目标帐户的计算机进行物理访问,或者需要对帐户进行远程访问(这将要求攻击者已经知道帐户密码,从而使漏洞失去意义) 。然而,邓斯坦特说,限制可以通过一个恶意构建的Java小应用程序来进行,一个声名狼藉的Mac应用程序也可以做到这一点 。
在测试中,我确认当前用户的密码实际上可以更改,而不必输入当前密码 。然而,我无法更改同一机器上其他用户帐户的密码,正如一些消息来源所声称的那样 。不过,值得注意的是,如果当前登录的帐户具有管理员权限,则更改其密码实质上会给攻击者提升您Mac的权限 。
Macworld与苹果进行了接触,但该公司没有回应采访人员的置评请求,询问苹果是否意识到这一漏洞,或者何时能提供修复方案 。
那么,在等待苹果的补丁时,用户该怎么办?当然,你应该始终实践安全计算的原则,比如避免访问可疑网站或下载不可信的程序 。此外,采取步骤来确保对您的机器的物理访问总是很好的,例如需要一个屏幕保护密码,如果你走开了,记得锁定你的屏幕 。
如果这些常识性的操作对你来说还不够,邓斯坦的博客文章建议改变dscl应用程序的权限,这样它就只能由操作系统的超级用户root运行 。为此,请使用命令:sudochmod100/usr/bin/dscl,并在提示时输入管理员密码 。这应该防止未经授权的访问,尽管它可能会阻碍那些实际上出于合法原因依赖于使用该程序的用户 。
目前,没有关于这种脆弱性在野外被利用的事件的报道,因此对Mac用户的关注程度可能不是很高 。也就是说,采取措施保护自己是一件聪明的事,在这种情况下,做起来相当容易 。
【Mac OS Lion的漏洞允许攻击者更改密码】
推荐阅读
- 灰燕冬天怎么保暖
- 虎头凤冬天怎么保暖
- 知识科普:手工编织:平结五彩手链的简单编法
- 孕早期最快判断宫内孕 宫外孕做微创手术多少钱
- 苹果收购总部位于英国的公司Spectral Edge以增强iPhone的摄影功能
- 松鸦冬天怎么保暖
- 小米推出配备64万像素摄像头和Helio G90T处理器
- 等你爱我大结局
- 火火兔蓝牙怎么传歌