1. XenForo 1.5.14 中文版——支持中文搜索!现已发布!查看详情
  2. Xenforo 爱好者讨论群:215909318 XenForo专区

科技 安全公司 TrueSec 发现 Yosemite 存在权限提升漏洞_移动版(WAP)

Discussion in '新闻聚焦' started by 漂亮的石头, 2014-11-05.

  1. 漂亮的石头

    漂亮的石头 版主 Staff Member

    Joined:
    2012-02-10
    Messages:
    488,438
    Likes Received:
    48
    在瑞典 Malmö 举行的 Øredev 开发者大会上,安全公司 TrueSec 公司的 Emil Kvarnhammar 展示了影响 OS X 10.8.5和最新 OS X 10.10 Yosemite 的全球提升漏洞。这位瑞典的“白帽黑客”两周前通知苹果该漏洞的存在,并同意会等到明年1月公布细节。这将允许苹果和顾客提前准备,避免漏洞被恶意攻击者 利用。被发现的权限提升漏洞被称为“Rootpipe”,该漏洞允许软件在拥有管理员权限的账户下运行,并在无授权的情况下通过 sudo 命令获得 Root 权限。

    通常情况下,管理员用户不输入密码时无法通过 sudu 命令获得 root 全新。这种机制是为了防止恶意软件自动安装。

    [​IMG]

    在 Rootpipe 安全漏洞被修复前,Mac 用户可以在非管理员账户中限制自己。为了实现这个目标,用户可以创建第二个管理员账户,并使用自己的账户移除第二个管理员账户的权限。没有管理员权限的账户安装打印机驱动或任何系统级别插件时需要管理员账户和密码才能执行。下图就是 Kvarnhammar。

    [​IMG]

    Kvarnhammar 还建议使用 FileVault,这是苹果为 Mac 用户提供的硬盘加密功能。FileVault 也是保护数据的好方法之一,尤其是在电脑被透支后。除了 Mac 外,Kvarnhammar 还攻破了 Android 手机上的三星 Knox 安全功能。

    热门评论

    匿名人士 | 2014-11-05 07:10:10

    也是无聊的漏洞 谁没事用两个账户登陆

    支持:0 | 反对:0
     
Loading...