Житомир-Експрес
регіональний сайт новин

Червер, 14 листопада 23:32
Анонси
В епіцентрі
Начальник ГУНП Житомирщини Сергій Крупєй: Довіра формується щоденною сумлінною та відповідальною роботою
Начальник ГУНП Житомирщини Сергій Крупєй: Довіра формується щоденною сумлінною та відповідальною роботою
Начальник ГУНП Житомирщини Сергій Крупєй: Довіра формується щоденною сумлінною та відповідальною роботоюВіталій Бунечко представив першого заступника голови ОДА – Володимира ФедоренкаГромадськості презентовано проєкт змін до Конституції щодо адмінтерустрою та місцевого самоврядуванняВіталій Бунечко призначив керівника апарату Житомирської ОДА
Загрузка...
Загрузка...

Программа телепередач на TVgid.ua.
Все последние новостиУкраины на ukr.net.
Автопродажа Renault для автолюбителей Украины.
http://job.ukr.net/ - вакансии со всей Украины.

Світ
22 сентября 2011, 10:11

Взлом паролей в Mac OS X Lion упростился

Данстан, опубликовавший информацию о взломе паролей Mac OS X пару лет назад, решил
В Apple допустили пару промахов в обеспечении безопасности паролей в OS X Lion, говорит блоггер Патрик Данстан.

Данстан, опубликовавший информацию о взломе паролей Mac OS X пару лет назад, решил вернуться к обсуждению проблемы благодаря выходу OS X Lion (версия 10.7).

Он обнаружил, что разработчики Apple допустили 2 основных ошибки в системе безопасности: во-первых, теперь стало возможным изменить пароль текущего пользователя без необходимости ввода первоначального пароля, поясняет Данстан.

"Получается, что служба каталогов в Lion больше не нуждается в аутентификации, когда идет запрос на замену пароля для текущего пользователя", - пишет он. "Таким образом для того, чтобы изменить пароль текущего пользователя, просто нужно ввести : $ dscl localhost -passwd /Search/Users/bob".

И это не единственный шаг назад. Раньше только пользователь с правами администратора мог получить хеши паролей для других пользователей, которые хранятся в shadow. В OS X Lion это ограничение можно легко обойти.

"Получается, что в ходе модернизации схемы аутентификации OS X Lion была допущена критическая ошибка", - объясняет Данстан. "В то время как пользователи, не обладающие правами администратора, не могут получить прямой доступ к shadow, Lion, на самом деле, дает возможность видеть информацию о хэшах паролей. Это легко выполняется посредством извлечения данных прямо из службы каталогов".

"Все пользователи, вне зависимости от своих прав, могут получить доступ к ShadowHashData других пользователей", - добавляет он.

Никакая из основных программ перебора паролей пока не работает с паролями OS X Lion, потому что ОС была выпущена только в конце июля. Данстан создал python-скрипт для взлома паролей.

Последнее исследование Данстона более подробно освещено в посте Defence in Depthblog здесь.

xakep.ru
Погода, Новости, загрузка...