Grave bug in Lion: possibile modificare le password degli account utente

Una grave vulnerabilità in OS X Lion potrebbe consentire a hacker o malintenzionati di alterare la password di qualunque account utente. Il bug è descritto su Defence in Depth, un blog specializzato in sicurezza. In pratica il sistema operativo consente a utenti non abilitati come root (l'account amministratore non restrittivo utilizzato per eseguire modifiche ai documenti di sistema critici) di visualizzare le password come stringhe hash; sfruttando queste, di conseguenza un attacker potrebbe potenzialmente richiamare degli script Python e ottenere in chiaro la password di un qualunque account. Ad aggravare la situazione, la mancata richiesta di una password per cambiare il login utente. Digitando il comando “dscl localhost -passwd /Search/Users/______," e sostituendo alle parti in bianco il nome di un account utente, il sistema permette di impostare una nuova password. Ovviamente per farlo un attacker deve fisicamente avere accesso alla macchina, così come ai servizi di directory. Per impedire simili tentativi è come sempre bene usare delle cautele semplici ma efficaci: disattivare il login automatico nelle opzioni di login dell’account utente, attivare (nella sezione sicurezza) l’opzione per la richiesta di password dopo lo stop o l’avvio del salvaschermo, eliminare l’account ospite. Per conoscere altri dettagli su come temere al sicuro il sistema, vi rimandiamo a questo nostro articolo.