为了顺应当前形势和更好的发展,黑基网已于9月19日正式更名为【安基网】,域名更换为www.safebase.cn,请卸载旧的APP并安装新的APP,给您带来不便,敬请理解!谢谢

黑基Web安全攻防班
安基网 首页 资讯 安全报 查看内容

Mac OS X 漏洞曝光

2008-3-3 15:32| 投稿: blue

摘要: 苹果证实,一项安全瑕疵会在许多情况下,让某个能够实际使用Macintosh电脑的人,取得有效的使用者帐号密码.该弱点出自一项程序错误,导致帐号密码会在验证后存在电脑过久,因此可能被有心人取出,用来登入...
苹果证实,一项安全瑕疵会在许多情况下,让某个能够实际使用Macintosh电脑的人,取得有效的使用者帐号密码.该弱点出自一项程序错误,导致帐号密码会在验证后存在电脑过久,因此可能被有心人取出,用来登入电脑并冒充使用者.发现这项弱点的程序设计师Jacob Appelbaum表示:这是个实际的问题,并且需要解决.他说他不满意苹果接获通报后的处理:他们不愿把它加入最近一次的安全更新,或提供单独的安全更新.   不同于上周报道的安全问题,这个弱点是OS X独有,其影响也更广泛,因为它能让(至少在OS X的预设组态中)所有存储在Keychain的密码曝光,包括无线网路、网站、通过SSH进入的帐号、网络登入值等密码. 苹果发言人Anuj Nayar对记者表示:我们已经注意到这个可能局部被利用的弱点,我们正准备在接下来的软件更新中处理.虽然没有任何操作系统是百分之百免疫,苹果在使用者受到影响前,尽速解决潜在的弱点,一直有良好的纪录. 这项安全瑕疵的运作方式如下:OS X的次系统loginwindow.app询问进入帐号的名称和密码.在预设的组态中,帐号密码可解开使用者的keychain和加密的FileVault(如果有使用). 但OS X并未在开锁程序完成后,立即消除密码,而是存在内存中.那代表只要有人能实际接触到该台电脑,就能用多种方法取出电脑DRAM芯片上存储的内容,包括将 iPod插入Firewire接口取出内存的内容、重开机并从网络或可移除的媒体执行记忆汲取程序、或直接拔出DRAM改装到另一台电脑里. 关掉电脑再多等几分钟,让DRAM上的内容有时间衰退,可防范这类攻击.虽然密码有可能在使用者登出后留在内存内(这种情况甚至更危险),Appelbaum尚未测试过这个理论. Appelbaum在2月5日通报苹果,但苹果并未在2月11日发布的安全更新中解决这个问题.他表示:他们应该担心,因为这代表那些需要密码验证的事情,都会询问这项信息. 由于苹果不愿透露细节,实际状况难以得知.但loginwindow.app使用可回溯到1980年代末的NeXTSTEP,当时根本没有人会想到这类攻击,因此部分原始的程序码,可能比本篇报道的某些读者还老.  

小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册黑基账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!



免责声明:本文由投稿者转载自互联网,版权归原作者所有,文中所述不代表本站观点,若有侵权或转载等不当之处请联系我们处理,让我们一起为维护良好的互联网秩序而努力!联系方式见网站首页右下角。


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

最新

返回顶部