Обнаружена незакрытая уязвимость в OS X

Обнаружена незакрытая уязвимость в OS X

Исследователь Стефан Эссер (Stefan Esser) опубликовал в своем блоге информацию о новой, работающей, уязвимости в последней версии Apple OS X. По словам Эссера, баг возник из-за новой функции, появившейся в OS X начиная с версии 10.10, позволяющей записывать сообщения об ошибках в произвольные файлы.

Уязвимость представлена в текущей версии OS X 10.10.4 (Yosemite), а также в бета-версии 10.10.5. В бета-версии 10.11 бага нет.

Эссер рассказал, что брешь сопряжена с переменной DYLD_PRINT_TO_FILE в динамическом компоновщике (dyld). Разработчики не применили в ее случае стандартных мер безопасности, что позволяет потенциальному атакующему создавать или открывать (с возможностью записи) произвольные файлы с root привилегиями, где угодно в файловой системе.

OS X

Представленный в блоге Эссера proof-of-concept атаки является локальным эксплоитом. Подобные баги часто используются в ситуациях, когда хакеру нужно повысить привилегии в системе, не принуждая пользователя вводить пароль, или в случае, когда у хакера имеется удаленный эксплоит, который сам по себе может исполнять код только с правами обычного пользователя, но не имеет root-доступа, пишет xakep.ru.

«Локальные эксплоты расцениваются как менее опасные, чем удаленные», — пишет Эссер, — «и все же их применяют для множества сценариев. В OS X десятки локальных эксплоитов. По-моему, они есть у всех».

Инженеры Apple уже в курсе проблемы, хотя Эссер и не сообщал им о своей находке, они заверили, что читали его изыскания. Вероятно, именно по этой причине уязвимости уже нет в бете 10.11.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Более трети россиян готовы к аутентификации без паролей

Согласно совместному исследованию «Лаборатории Касперского», Почты Mail и Hi-Tech Mail, свыше трети россиян готовы отказаться от привычных паролей в пользу альтернативных способов авторизации, таких как биометрия или одноразовые коды.

В опросе приняли участие 1950 пользователей сервисов VK по всей стране.

Полностью перейти на беспарольные методы аутентификации готовы 16% респондентов, а еще 12% считают возможным использовать их для важных сервисов. При этом 9% опрошенных предпочитают быть осторожнее и готовы отказаться от паролей только при доступе к менее важным ресурсам.

Уже сегодня беспарольными методами пользуется 31% участников исследования, а еще 27% применяют их для защиты наиболее важных аккаунтов — в мессенджерах, электронной почте и онлайн-банкинге.

28% респондентов отмечают удобство и надежность беспарольных решений, однако 19% уверены, что лишь традиционные пароли способны обеспечить достаточную безопасность.

«Переход к беспарольной аутентификации не только значительно усиливает защиту аккаунтов, но и заметно улучшает пользовательский опыт. Людям больше не нужно запоминать множество сложных паролей, а риск их утечки из-за повторного использования на разных платформах существенно снижается. Мы также наблюдаем этот позитивный тренд в наших продуктах», — подчеркнул руководитель команды информационной безопасности Почты и Облака Mail Дмитрий Водяной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru