No último dia 27 de janeiro, há apenas uma semana, hoje, nós fizemos eco de uma vulnerabilidade no Sudo que afetou os sistemas operacionais baseados em Linux. Foi o que entendemos, porque foi assim que eles explicaram, a partir da informação oficial, onde mencionaram Ubuntu, Debian e Fedora como sistemas afetados. Eles também mencionaram que provavelmente afetou outras distribuições também, e hoje aprendemos que entre os sistemas operacionais afetados também existem outros baseados em UNIX, como BSD e o MacOS Apple.
A vulnerabilidade foi descoberta pela Qualys, uma empresa com sede na Califórnia, ou mais especificamente foram aqueles que conseguiram explorar uma vulnerabilidade que já existia há cerca de dez anos. Os usuários do Linux já estão protegidos, mas os usuários do macOS ainda não estão. Isso foi confirmado por Matthew Hickey, da Hacker House, garantindo que o vulnerabilidade sudo também afeta o sistema usado pelos Macs.
Mais difícil de consertar no macOS do que no Linux
CVE-2021-3156 também impacta @maçã MacOS Big Sur (não corrigido no momento), você pode habilitar a exploração do problema vinculando simbolicamente sudo a sudoedit e, em seguida, acionando o estouro de heap para aumentar os privilégios de alguém para 1337 uid = 0. Diversão para @ p0sixninja pic.twitter.com/tyXFB3odxE
- Hacker fantástico? (@hackerfantastic) 2 de fevereiro de 2021
O CVE-2021-3156 também afeta o macOS Big Sur da Apple (atualmente sem patch), você pode habilitar a exploração do problema vinculando simbolicamente sudo ao sudoedit e ativando o estouro de heap para escalar os privilégios de um a 1337 uid = 0. Diversão para @ p0sixninja.
Pelo que podemos ler no Conta do Twitter de HickeyÉ um dos bugs mais devastadores da história do UNIX / Linuxjá que afetou o Linux e continua afetando macOS, Solaris e outros sistemas não glibc. E quanto ao sistema da Apple, os desenvolvedores podem criar o patch, mas ainda pode demorar um pouco para a empresa aplicá-lo ao seu sistema operacional. Afeta até macOS 11.2.
Para alguns desenvolvedores, como osxreserver, eles acham engraçado que, embora saibam como consertar eles mesmos, eles não podem fazer isso devido aos direitos privados, então eles terão que esperar a Apple lançar uma atualização para resolver um bug que no Linux foi corrigido por uma semana. E esse é um dos pontos positivos de usar um software como o que usamos por aqui.