I dagens nyhetsbrev fra Telenor sikkerhetssenter beskrives et nyoppdaget og svært alvorlig sikkerhetshull i den nyeste versjon av Apple-operativsystemet Mac OS X, det vil si 10.7 «Lion», slik:
Hullet kan utnyttes dersom man bruker LDAP. Det viser seg at etter første innlogging via LDAP, så vil Lion oppfatte alle senere passord som gyldige. Dette gjør at man kan få tilgang til ressurser man ikke skulle hatt tilgang til ved å bare oppgi et tilfeldig passord.
LDAP er åpen standard for katalogtjenester i heterogene miljøer, for eksempel der noen bruker Windows, andre Mac. LDAP sørger for at brukere får tilgang til de nettressursene de skal, og holdes utenfor dem de ikke har rettigheter til. Sikkerhetshullet i Lion innebærer at tilgangskontrollen settes ut av spill.
Telenors sikkerhetssenter viser til en artikkel i The Register – Mac Lion blindly accepts any LDAP password – som igjen viser til en diskusjon på Mac Rumors og en diskusjon på Apple Support. Disse diskusjonene gjelder hvert sitt problem: Den på Mac Rumors går på at Lion-brukere ikke trenger annet enn brukernavn for å logge på gjennom LDAP. Den på Apple Support dreier seg om det motsatte: Enhver pålogging gjennom LDAP mislykkes.
Hovedproblemet ser ut til å være at noen får tilgang til alt, uten passord. Samtidig opplever andre at de stenges helt ute, også med korrekt passord.
Det går fram av diskusjonene at sikkerhetshullet har vært kjent siden annen halvdel av juli. I forrige uke meldte H Security at Apple ikke bare er informert om problemet, men at de også skal ha greid å reprodusere det.
– Det er ikke klart hvorvidt problemet vil rettes i en kommende sikkerhetsoppdatering eller i den neste punktoppgraderingen for Lion, Mac OS X 10.7.2. Per i dag er den eneste løsningen å deaktivere LDAP-autentiseringen for kritiske tjenester, skriver H Security.
Apple har lenge hatt et godt sikkerhetsrykte. Dette ryktet har til dels hvilt på den kjensgjerningen av at selskapets IT-produkter i forholdsvis liten grad har vært interessante for ondsinnede hackere. Med økt popularitet kommer økt oppmerksomhet, og hyppigere avsløringer av sikkerhetshull i både systemvare og nettleseren Safari. I tillegg til det som framgår av artiklene referert nedenfor, er det også avslørt en feil i Skype-klienten til Mac, som gjør det mulig for uvedkommende å kontrollere hele maskinen. Artikkelen om pc-hack via batteriet dreier seg for det meste om Mac.
Les også:
- [02.08.2011] Hacker pc-er via batteriet
- [25.05.2011] Mange Mac-brukere rammet av skremmevare
- [19.05.2011] Store minnelekkasjer i flere nettlesere
- [10.03.2011] Gigantfiks til Safari hjalp lite