Житомир-Експрес
регіональний сайт новин

Вівторок, 26 травня 23:24
Анонси
В епіцентрі
На Донеччині відбулася ротація зведеного загону поліцейських Житомирщини
На Донеччині відбулася ротація зведеного загону поліцейських Житомирщини
На Донеччині відбулася ротація зведеного загону поліцейських ЖитомирщиниВіра Рогова провела онлайн-засідання Координаційної ради з питань охорони дитинства та підтримки сім’ї при ОДАСергій Сухомлин звернувся до житомирян з приводу постанови головного санітарного лікаря Житомирської областіВіталій Бунечко в режимі онлайн поспілкувався з журналістами телеканалу СТБ
Загрузка...
Загрузка...

Программа телепередач на TVgid.ua.
Все последние новостиУкраины на ukr.net.
Автопродажа Renault для автолюбителей Украины.
http://job.ukr.net/ - вакансии со всей Украины.

Світ
22 сентября 2011, 10:11

Взлом паролей в Mac OS X Lion упростился

Данстан, опубликовавший информацию о взломе паролей Mac OS X пару лет назад, решил
В Apple допустили пару промахов в обеспечении безопасности паролей в OS X Lion, говорит блоггер Патрик Данстан.

Данстан, опубликовавший информацию о взломе паролей Mac OS X пару лет назад, решил вернуться к обсуждению проблемы благодаря выходу OS X Lion (версия 10.7).

Он обнаружил, что разработчики Apple допустили 2 основных ошибки в системе безопасности: во-первых, теперь стало возможным изменить пароль текущего пользователя без необходимости ввода первоначального пароля, поясняет Данстан.

"Получается, что служба каталогов в Lion больше не нуждается в аутентификации, когда идет запрос на замену пароля для текущего пользователя", - пишет он. "Таким образом для того, чтобы изменить пароль текущего пользователя, просто нужно ввести : $ dscl localhost -passwd /Search/Users/bob".

И это не единственный шаг назад. Раньше только пользователь с правами администратора мог получить хеши паролей для других пользователей, которые хранятся в shadow. В OS X Lion это ограничение можно легко обойти.

"Получается, что в ходе модернизации схемы аутентификации OS X Lion была допущена критическая ошибка", - объясняет Данстан. "В то время как пользователи, не обладающие правами администратора, не могут получить прямой доступ к shadow, Lion, на самом деле, дает возможность видеть информацию о хэшах паролей. Это легко выполняется посредством извлечения данных прямо из службы каталогов".

"Все пользователи, вне зависимости от своих прав, могут получить доступ к ShadowHashData других пользователей", - добавляет он.

Никакая из основных программ перебора паролей пока не работает с паролями OS X Lion, потому что ОС была выпущена только в конце июля. Данстан создал python-скрипт для взлома паролей.

Последнее исследование Данстона более подробно освещено в посте Defence in Depthblog здесь.

xakep.ru
Погода, Новости, загрузка...