Una falla in Mac OS X 10.7 Lion permette di cambiare la password dell'utente

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwfiles.it/news/una-falla...nte_38584.html

Scoperto un bug di sicurezza nell'ultimo sistema operativo della Mela: chiunque potrebbe cambiare la password dell'utente attivo senza che venga richiesta l'autenticazione

Click sul link per visualizzare la notizia.

[ciairuzz]

ma quindi basta cambiare i permessi di esecuzione a dscl?

[Arnoldforever]

Quote:

L'autore, Patrick Dunstan, spiega come per risalire alla password utente sia possibile impiegare una tecnica già descritta in passato per forzare i sistemi Mac OS X 10.6 e precedenti e che prevede, in sintesi, di estrarre gli hash della password da uno specifico file shadow dell'utente, localizzato in uno specifico percorso.

Recidivi quelli di Apple eh?

Alla fine stiamo parlando dell' OS più "sicuro" al mondo...

[ironman72]

Quote:

Originariamente inviato da Arnoldforever

Recidivi quelli di Apple eh?

Alla fine stiamo parlando dell' OS più "sicuro" al mondo...

Alla fine anche os x ha le sue falle , e non e' infallibile e sicuro al 100% ( niente lo e'..) finiranno spero, le classiche dispute da fanboy su questo o quello S.O.

[frankie]

Io non sono un fan boy ma voglio proprio vedere quanto impiegano per sistemare il bug!

Spero entro il primo martedì del prossimo mese

[!fazz]

Quote:

Originariamente inviato da Arnoldforever

Recidivi quelli di Apple eh?

Alla fine stiamo parlando dell' OS più "sicuro" al mondo...

secondo post e già si inziano i flame.


complimenti,


vediamo di fermarli sul nascere

[Wolfhask]

che abbia dei problemi può anche starci, visto che di gioventù si tratta, ma tra la lentezza, la richiesta risorse e sto bug, sembra che il nuovo OSX di casa apple non stia creando le aspettative tanto richieste visti i precedenti sistemi, rimango soddisfatto del mio snow e forse passerò a lion solo e unicamente se sarà compatibile appieno e senza tante beghe coi miei mac.

[Masamune]

chissà per quanto ancora un maccarolo camperà bene senza antivirus...

[tazok]

Quote:

Originariamente inviato da jeff_92

Faccio fatica a crederci. Faccio davvero fatica a crederci

anche io

passwd: Invalid Path
<dscl_cmd> DS Error: -14009 (eDSUnknownNodeName)

[AnonimoVeneziano]

Il bug degli hash è grave, ma quello che permette a un utente di cambiarsi la password senza chiedere la vecchia password apre la strada a diversi malware che possono dare veramente molto fastidio. Un applicazione potrebbe sfruttare la cosa per cambiare la password dell'utente o anche quella di root se gli si permette di girare come amministratore. La creatività dei vari ideatori di virus potrebbe poi fare il resto .

[tazok]

Quote:

Originariamente inviato da jeff_92

ehm.. magari sostituisci davide col tuo username, no? :P

ma dai? l'ho fatto da un altro utente non admin, ovviamente, su un altro utente admin.

e quello è il risultato

[Pier2204]

Oggi dopo 2 Rumors, uno negli articoli e uno nelle news, esce una notizia reale...

[C++Ronaldo]

ma questo è un tipo di bug che nel giro di 2-3 giorni già sarà patchato
non è che si tratta di un crash di instabilità che richiederebbe severi debug...
qui ci sarà qualche riga di codice con un flag boolean da aggiustare per i criteri sugli shadow e via

roba che loro possono fare anche in una mattinata se ci si mettono a lavoro con un team di 20-30
a rileggere bene le procedure di controllo

se fanno passare mesi sono folli, però

[AnonimoVeneziano]

Quote:

Originariamente inviato da jeff_92

come utente standard, puoi cambiare la password anche di root... (oh, magari ho frainteso eh!)

hai frainteso, si può cambiare solo la password dell'utente corrente, ma è comunque una falla molto grande.

[tazok]

Quote:

Originariamente inviato da AnonimoVeneziano

hai frainteso, si può cambiare solo la password dell'utente corrente, ma è comunque una falla molto grande.

adesso ci siamo.

[Scezzy]

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

[Jabberwock]

Quote:

Originariamente inviato da Scezzy

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Quella che richiede di essere avviata da CD bootabile? AFAIK, per farlo dall'interno serve poter accedere ad un account del gruppo administrator!

[tazok]

Quote:

Originariamente inviato da Scezzy

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Flame inutile.

Sbagli.

[WarDuck]

Quote:

Originariamente inviato da Scezzy

Non per lanciare flame inutili, ma per un'altra famiglia di sistemi operativi mi pare che si possa far sparire qualsiasi password (anche a livello server) in pochi secondi con una ben nota suite di tools. Sbaglio ?

Io ne conosco uno per resettare la password Admin al boot, ma funziona solo con XP e comunque devi avere accesso locale alla macchina per poterlo fare.

Qui si parla di ben altro.

[omerook]

be ci sono anche le live cd per resettare le pass o ancora peggio per visualizzarle