27. januar, for bare en uke siden i dag, vi gjorde ekko av et sårbarhet i Sudo som påvirket Linux-baserte operativsystemer. Det var det vi forsto, fordi det var slik de forklarte det, fra den offisielle informasjonen, der de nevnte Ubuntu, Debian og Fedora som berørte systemer. De nevnte også at det sannsynligvis også påvirket andre distribusjoner, og i dag har vi lært at blant de berørte operativsystemene er det også andre basert på UNIX, som BSD og macOS Apple.
Sårbarheten ble oppdaget av Qualys, et selskap basert i California, eller mer spesifikt var de de som klarte å utnytte en sårbarhet som hadde eksistert i omtrent ti år. Linux-brukere er allerede beskyttet, men macOS-brukere er fortsatt ikke. Dette er bekreftet av Matthew Hickey, fra Hacker House, og sørget for at sudo sårbarhet det påvirker også systemet som brukes av Mac-maskiner.
Vanskeligere å fikse på macOS enn på Linux
CVE-2021-3156 påvirker også @eple MacOS Big Sur (ikke oppdatert for øyeblikket), du kan aktivere utnyttelse av problemet ved å koble sudo til sudoedit og deretter utløse bunkeoverløpet for å eskalere ens privilegier til 1337 uid = 0. Moro for @ p0sixninja pic.twitter.com/tyXFB3odxE
- Hacker Fantastic? (@hackerfantastic) Februar 2, 2021
CVE-2021-3156 påvirker også Apples macOS Big Sur (foreløpig ikke oppdatert), du kan aktivere utnyttelse av problemet ved symbolsk å knytte sudo til sudoedit og deretter aktivere heapoverløp for å skalere privilegier fra ett til 1337 uid = 0. Moro for @ p0sixninja.
Fra det vi kan lese i Hickeys Twitter-konto, det er det en av de mest ødeleggende feilene i UNIX / Linux-historiensom det påvirket Linux og fortsetter å påvirke macOS, Solaris og andre ikke-glibc-systemer. Og når det gjelder Apples system, kan utviklere lage oppdateringen, men det kan fortsatt ta en stund for selskapet å bruke den på operativsystemet. Påvirker opptil macOS 11.2.
For noen utviklere, som osxreserver, de synes det er morsomt at selv om de vet hvordan de skal fikse det selv, de kan ikke gjøre det på grunn av private rettigheter, så de må vente på at Apple slipper en oppdatering for å løse en feil som i Linux er blitt rettet i en uke. Og det er noe av det positive med å bruke programvare som den vi bruker her.