Det foreligger ingen fiks mot denne sårbarheten, som kan gi en angriper fulle administrative rettigheter på Mac-maskiner.
Feilen ligger i Unix-kommandoen «sudo», som blir brukt for å gi økte systemrettigheter, melder Ars Technica.
Les også:
- [29.08.2013] Tre tegn kveler Apple
- [09.02.2009] Unix-tiden nærmer seg «magisk» tidspunkt
«Tidsreise»
Normalt skal du bli avkrevd et passord før du kan boltre deg med administrativ tilgang. Det kan du imidlertid hoppe bukk over, som følge av sudo-feilen.
Det holder å stille systemklokken tilbake til 1. januar 1970, også kjent som Unix Epoch, det vil si tidsregningen alle Unix-maskiner starter på, ifølge det amerikanske teknologimagasinet.
Feilen ble registrert allerede i februar (CVE-2013-1775).
Sårbarheten oppgis å ramme alle versjoner av Mac OS X fra 10.7 til nyeste 10.8.4 (muligens også eldre utgaver), men krever en del forutsetninger for å utnyttes.
For det første må man enten ha fysisk adgang til maskinen eller fjernaksess. Videre må man være innlogget, og det på en konto som også har administrative rettigheter i utgangspunktet.
Som om ikke det var nok så må kontoen også ha kjørt sudo-kommandoen minst én gang tidligere. I sum gjør alt dette at det nok ikke er så enkelt å utnytte feilen.
På den annen side er sårbarheten nettopp tilgodesett med en egen angrepsmodul i hacker- og penetasjonstest-verktøyet Metasploit, som gjør det enklere enn før å utnytte feilen.
Les også:
- [29.08.2013] Tre tegn kveler Apple
- [09.02.2009] Unix-tiden nærmer seg «magisk» tidspunkt
