Link alla notizia: http://www.hwfiles.it/news/una-falla-in-mac-os-x-107-lion-permette-di-cambiare-la-password-dell-utente_38584.html

Scoperto un bug di sicurezza nell'ultimo sistema operativo della Mela: chiunque potrebbe cambiare la password dell'utente attivo senza che venga richiesta l'autenticazione

Click sul link per visualizzare la notizia.

ma quindi basta cambiare i permessi di esecuzione a dscl?

L'autore, Patrick Dunstan, spiega come per risalire alla password utente sia possibile impiegare una tecnica già descritta in passato per forzare i sistemi Mac OS X 10.6 e precedenti e che prevede, in sintesi, di estrarre gli hash della password da uno specifico file shadow dell'utente, localizzato in uno specifico percorso.

Recidivi quelli di Apple eh? :asd:

Alla fine stiamo parlando dell' OS più "sicuro" al mondo...:O

Recidivi quelli di Apple eh? :asd:

Alla fine stiamo parlando dell' OS più "sicuro" al mondo...:O

Alla fine anche os x ha le sue falle , e non e' infallibile e sicuro al 100% ( niente lo e'..) finiranno spero, le classiche dispute da fanboy su questo o quello S.O.

Io non sono un fan boy ma voglio proprio vedere quanto impiegano per sistemare il bug!

Spero entro il primo martedì del prossimo mese :asd:

Recidivi quelli di Apple eh? :asd:

Alla fine stiamo parlando dell' OS più "sicuro" al mondo...:O


secondo post e già si inziano i flame.


complimenti,


vediamo di fermarli sul nascere

che abbia dei problemi può anche starci, visto che di gioventù si tratta, ma tra la lentezza, la richiesta risorse e sto bug, sembra che il nuovo OSX di casa apple non stia creando le aspettative tanto richieste visti i precedenti sistemi, rimango soddisfatto del mio snow e forse passerò a lion solo e unicamente se sarà compatibile appieno e senza tante beghe coi miei mac.

chissà per quanto ancora un maccarolo camperà bene senza antivirus...

Faccio fatica a crederci. Faccio davvero fatica a crederci

anche io

passwd: Invalid Path
<dscl_cmd> DS Error: -14009 (eDSUnknownNodeName)

Il bug degli hash è grave, ma quello che permette a un utente di cambiarsi la password senza chiedere la vecchia password apre la strada a diversi malware che possono dare veramente molto fastidio. Un applicazione potrebbe sfruttare la cosa per cambiare la password dell'utente o anche quella di root se gli si permette di girare come amministratore. La creatività dei vari ideatori di virus potrebbe poi fare il resto .

ehm.. magari sostituisci davide col tuo username, no? :P

ma dai? l'ho fatto da un altro utente non admin, ovviamente, su un altro utente admin.

e quello è il risultato :rolleyes:

Oggi dopo 2 Rumors, uno negli articoli e uno nelle news, esce una notizia reale...:asd:

ma questo è un tipo di bug che nel giro di 2-3 giorni già sarà patchato
non è che si tratta di un crash di instabilità che richiederebbe severi debug...
qui ci sarà qualche riga di codice con un flag boolean da aggiustare per i criteri sugli shadow e via

roba che loro possono fare anche in una mattinata se ci si mettono a lavoro con un team di 20-30
a rileggere bene le procedure di controllo

se fanno passare mesi sono folli, però

come utente standard, puoi cambiare la password anche di root... (oh, magari ho frainteso eh!)

hai frainteso, si può cambiare solo la password dell'utente corrente, ma è comunque una falla molto grande.

hai frainteso, si può cambiare solo la password dell'utente corrente, ma è comunque una falla molto grande.

adesso ci siamo.

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Quella che richiede di essere avviata da CD bootabile? AFAIK, per farlo dall'interno serve poter accedere ad un account del gruppo administrator!

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Flame inutile.

Sbagli.

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Io ne conosco uno per resettare la password Admin al boot, ma funziona solo con XP e comunque devi avere accesso locale alla macchina per poterlo fare.

Qui si parla di ben altro.

be ci sono anche le live cd per resettare le pass o ancora peggio per visualizzarle

be ci sono anche le live cd per resettare le pass o ancora peggio per visualizzarle

ci sono anche tool per la formattazione del pc senza che tu sia amministratore. Ma non c'entrano nulla con questo post.

il "bug" verte sul cambio della password dell'utente corrente a runtime e senza averne il privilegio, e conseguente utilizzo delle sue credenziali(visto che a quel punto si conosce l'accoppiata user/password).

chiaro?
Runtime?

il prossimo che parla di live cd lo segnalo :rolleyes:

il prossimo che parla di live cd lo segnalo :rolleyes:

ed io lo dico a mamma!:D

ed io lo dico a mamma!:D

ecco così già siamo più in topic che prima :asd:

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Con accesso fisico alla macchina non esiste sistema che regge... puoi rubare tutto quelle che vuoi rubare e puoi distruggere tutto quello che vuoi distruggere !
Questa falla riguarda tutt'altro!

beh buggone storico, non c'è che dire :D

certo però che se fosse successo al nuovo Windows, sarebbero esplosi i server dei forum dai troppi messaggi :p

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

Si ma se non erro devi essere Amministratore per poter accedere alla gestione utenti ;)

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

:confused:

Windows 7 se vuoi rimuovere o modificare la password ti chiede la vecchia, solo l'amministratore può rimuovere la password, ma devi sapere quella dell'amministratore, altrimenti nisba..

Anche con XP è così, devi comunque essere Admin per gestire gli utenti.

Inoltre per cambiare la password dell'utente loggato devi inserire quella vecchia.

Non ci sono scusanti o appigli o "si ma con l'altro SO...", e comunque basta leggere tra le righe l'articolo Kaspersky per farsi un idea del livello di sicurezza dei sistemi Apple.

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

ma per favore :rolleyes:

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

Beh non è così semplice, guarda è successo proprio ieri ad un collega.
Per fare quello che dici tu devi loggare come superAdmin, per fare ciò devi attivare una voce digitando un codice ma prima devi loggare come utente amministratore, perciò se non sai la password ti attacchi. Per sua fortuna il ditone delle impronte digitali lo ha salvato in quanto poteva accedere con quello :D

una tecnica già descritta in passato per forzare i sistemi Mac OS X 10.6 e precedenti e che prevede, in sintesi, di estrarre gli hash della password da uno specifico file shadow dell'utente, localizzato in uno specifico percorso.

Qui e' inutile far scoppiare flame e fanboyismi, le password di windows si scoprono cosi' da anni, sia con software bootabili sia con software da far partire in windows.

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

Guarda che Windows 98 e' un po' obsoleto... Ti consiglio di aggiornarti un po'. Ormai non esiste piu' il tasto Annulla della finestra di login che ti fa comunque loggare :stordita: :ciapet:

:mc: ma su windows di base è da sempre così...

gestione - utenti - nomeutente - impostazione password.

metti la nuova password e basta, senza sapere la vecchia.

Solo se fai il login con un account di tipo admin! Da un account utente non puoi far nulla! Che poi con XP (e qualcuno anche con Vista/7: UAC e' fastidioso :rolleyes: ) si andasse in giro con l'account admin, e' un'altra questione (dovuta al fatto che, per quanto riguarda la sicurezza, i piu' ignorano anche le basi), che non c'entra nulla con il bug illustrato!

Quindi no, non e' cosi'! :O

Qui e' inutile far scoppiare flame e fanboyismi, le password di windows si scoprono cosi' da anni, sia con software bootabili sia con software da far partire in windows.


Ribadisco la cosa, sicuramente NON CON UN SOFTWARE a runtime se non sei Administrator.

Ribadisco la cosa, sicuramente NON CON UN SOFTWARE a runtime se non sei Administrator.

Non ho provato, in XP intendo. Non so nemmeno se ce l'ho piu', lo usavo per recuperare password nei pc (e la chiave di windows in caso di reinstallazione con etichetta della licenza perduta chissa' dove) in un precedente lavoro ma mi sa che il mio antivirus a casa me l'ha segato via dalla chiavetta.

Comunque nel caso cosi' non funzioni basta una porta USB e il tasto OFF. Si fa partire un software (hiren...? :)) dove legge le password da file sam.


Mentre in Seven non ho ancora provato ne' uno ne' l'altro metodo.

Solo se fai il login con un account di tipo admin! Da un account utente non puoi far nulla! Che poi con XP (e qualcuno anche con Vista/7: UAC e' fastidioso :rolleyes: ) si andasse in giro con l'account admin, e' un'altra questione (dovuta al fatto che, per quanto riguarda la sicurezza, i piu' ignorano anche le basi), che non c'entra nulla con il bug illustrato!

Quindi no, non e' cosi'! :O

ah si perchè chi NON usa admin normalmente su xp??? nessuno. . .

fatto la prova ora su win 7, non ho utente superadmin (disabilitato) ma posso cambiare le pass senza sapere le vecchie

ah si perchè chi NON usa admin normalmente su xp??? nessuno. . .

fatto la prova ora su win 7, non ho utente superadmin (disabilitato) ma posso cambiare le pass senza sapere le vecchie

Al lavoro ho XP ed io uso account User.

Su Windows 7 di default UAC non è al massimo livello, questo vuol dire che lui ti fa accedere alla gestione utente perché eleva in automatico i privilegi.

In teoria da script non dovrebbe funzionare (a meno che non sfrutti il trick per elevare).

Se metti UAC al massimo livello è necessario il consenso, ergo a quel punto nessuno script può resettarti la password.

A parità di condizioni comunque (utente User) rimane comunque il problema per MacOS.

ah si perchè chi NON usa admin normalmente su xp??? nessuno. . .

Cosa c'entra una abitudine, per altro sbagliatissima, con un bug? Perche' sono queste due cose che stai paragonando! :doh:


Comunque nel caso cosi' non funzioni basta una porta USB e il tasto OFF. Si fa partire un software (hiren...? :)) dove legge le password da file sam.


Ma questo non permette, potenzialmente, di operare da remoto!
Che poi, se non erro, con Linux basta una live con utente root e modifichi tutte le password (toh, come con Win con accesso Admin)! Il recupero delle password da locale e' una precauzione!