Не знаю, кто именно назвал Lion «самой защищенной ОС в мире», но он явно лукавил, так как на днях в системе была найдена очень крупная уязвимость, позволяющая пользователям менять пароль от учетных записей на одном компьютере даже не обладая администраторскими привилегиями.

Пароли учетных записей OS X хранятся в зашифрованном виде в специальных файлах. В отношении них действует общая система разрешений, поэтому содержимое этих файлов (в данном случае — пароль) может быть изменено лишь определенным пользователем или администратором системы.

К сожалению, последние исследования безопасности Lion показали, что на практике любой юзер может без особого труда изменить пароль другой учетной записи на локальном компьютере, причем, для этого даже не потребуется авторизовываться от имени администратора.

Сделать это можно при помощи вот такой нехитрой команды в Терминале, заменив USERNAME на короткое имя пользователя:

dscl localhost -passwd /Search/Users/USERNAME

После запуска этой команды появится ошибка, но если вы введете один и тот же пароль после появления всех запросов, то именно он будет установлен для этой учетной записи. Дальнейшие действия предугадать не так уж и сложно, ведь злоумышленник, изменив данные администрата, сможет получить полный доступ к системе.

К счастью, у этой проблемы есть несколько ограничений:

  • Во-первых, хакер должен иметь доступ к локальным учетным записям в системе либо же физический доступ к компьютеру с залогиненным пользователем.
  • Во-вторых, злоумышленнику необходим доступ к Directory Services (например, через тот же самый Терминал). Без этого доступа сделать ничего не получится.

Чем грозит данная уязвимость? Скажем так, если у компьютера один пользователь, являющийся одновременно и его владельцем, то скорее всего волноваться не стоит. Но если вашим Маком пользуются и другие люди (причем, не всегда ваши знакомые), стоит «предохраниться» по методу CNet.

Для начала следует зайти в Системные настройки > Защита и безопасность > Общие, авторизоваться (нажать на замочек в левом нижнем углу окна) и поставить вот эти галочки:

Естественно, отключение автоматического логина в систему и показ окна входа после пробуждения или прекращения работы скринсейвера может сказаться на удобстве пользования компьютером, но так вы сумеете значительно снизить шанс несанкционированного доступа к Маку.

После этого требуется отключить гостевую запись и включить Родительский Контроль для всех аккаунтов в системе, параллельно заблокировав программы, имеющие доступ к Directory Services (Terminal, X11 для Xterm — напротив них не нужно ставить галочку).

По имеющимся сведениям, Apple уже знает о проблеме, поэтому исправление может выйти как в составе OS X Lion 10.7.2, так и в виде отдельного апдейта, доступного через системную утилиту «Обновление ПО» (Software Update).


Читайте также: