|
|
|
 |
|
Mac OS X 漏洞曝光 可獲取其中所有密碼
|
|
來源:中關(guān)村在線 2008-03-04 12:31:11
|
|
蘋果證實(shí),一項(xiàng)安全瑕疵會在許多情況下,讓某個(gè)能夠?qū)嶋H使用Macintosh電腦的人,取得有效的使用者帳號密碼. 該弱點(diǎn)出自一項(xiàng)程序錯(cuò)誤,導(dǎo)致帳號密碼會在驗(yàn)證后存在電腦過久,因此可能被有心人取出,用來登入電腦并冒充使用者.發(fā)現(xiàn)這項(xiàng)弱點(diǎn)的程序設(shè)計(jì)師Jacob Appelbaum表示:這是個(gè)實(shí)際的問題,并且需要解決.他說他不滿意蘋果接獲通報(bào)后的處理:他們不愿把它加入最近一次的安全更新,或提供單獨(dú)的安全更新.
這項(xiàng)安全瑕疵的運(yùn)作方式如下:OS X的次系統(tǒng)loginwindow.app詢問進(jìn)入帳號的名稱和密碼.在預(yù)設(shè)的組態(tài)中,帳號密碼可解開使用者的keychain和加密的FileVault(如果有使用).
關(guān)掉電腦再多等幾分鐘,讓DRAM上的內(nèi)容有時(shí)間衰退,可防范這類攻擊.雖然密碼有可能在使用者登出后留在內(nèi)存內(nèi)(這種情況甚至更危險(xiǎn)),Appelbaum尚未測試過這個(gè)理論. Appelbaum在2月5日通報(bào)蘋果,但蘋果并未在2月11日發(fā)布的安全更新中解決這個(gè)問題.他表示:他們應(yīng)該擔(dān)心,因?yàn)檫@代表那些需要密碼驗(yàn)證的事情,都會詢問這項(xiàng)信息. 由于蘋果不愿透露細(xì)節(jié),實(shí)際狀況難以得知.但loginwindow.app使用可回溯到1980年代末的NeXTSTEP,當(dāng)時(shí)根本沒有人會想到這類攻擊,因此部分原始的程序碼,可能比本篇報(bào)道的某些讀者還老. |
