เมื่อวันที่ 27 มกราคมที่ผ่านมาวันนี้เพียงหนึ่งสัปดาห์ที่ผ่านมา เราทำ เสียงสะท้อนของช่องโหว่ใน Sudo ที่ส่งผลกระทบต่อระบบปฏิบัติการที่ใช้ Linux นั่นคือสิ่งที่เราเข้าใจเพราะนั่นคือวิธีที่พวกเขาอธิบายจากข้อมูลอย่างเป็นทางการซึ่งพวกเขากล่าวถึง Ubuntu, Debian และ Fedora ว่าเป็นระบบที่ได้รับผลกระทบ พวกเขายังกล่าวว่าอาจส่งผลกระทบต่อการแจกแจงอื่น ๆ ด้วยและวันนี้เราได้เรียนรู้ว่าในบรรดาระบบปฏิบัติการที่ได้รับผลกระทบนั้นยังมีระบบปฏิบัติการอื่น ๆ ที่ใช้ UNIX เช่น BSD และ MacOS ของ Apple
ช่องโหว่ดังกล่าวถูกค้นพบโดย Qualys บริษัท ที่ตั้งอยู่ในแคลิฟอร์เนียหรือโดยเฉพาะอย่างยิ่งพวกเขาคือผู้ที่ใช้ประโยชน์จากช่องโหว่ที่มีมานานประมาณสิบปี ผู้ใช้ Linux ได้รับการป้องกันแล้ว แต่ผู้ใช้ macOS ก็ยังไม่ได้รับการปกป้อง สิ่งนี้ได้รับการยืนยันโดย Matthew Hickey จาก Hacker House รับรองว่าไฟล์ ช่องโหว่ sudo นอกจากนี้ยังส่งผลกระทบต่อระบบที่ใช้โดย Mac
แก้ไขบน macOS ได้ยากกว่าบน Linux
CVE-2021-3156 ก็ส่งผลเช่นกัน @แอปเปิ้ล MacOS Big Sur (ยังไม่ได้รับการแก้ไขในปัจจุบัน) คุณสามารถเปิดใช้งานการใช้ประโยชน์จากปัญหาได้โดยการเชื่อมโยง sudo กับ sudoedit จากนั้นเรียกใช้ heap overflow เพื่อเพิ่มสิทธิ์ของตนเป็น 1337 uid = 0 สนุกสำหรับ @ p0sixninja pic.twitter.com/tyXFB3odxE
- แฮ็กเกอร์มหัศจรรย์? (@hackerfantastic) กุมภาพันธ์ 2, 2021
CVE-2021-3156 ยังส่งผลกระทบต่อ macOS Big Sur ของ Apple (ยังไม่ได้ติดตั้งในปัจจุบัน) คุณสามารถเปิดใช้งานการใช้ประโยชน์จากปัญหาได้โดยการเชื่อมโยง sudo กับ sudoedit ในสัญลักษณ์จากนั้นเปิด heap overflow เพื่อปรับขนาดสิทธิ์จากหนึ่งถึง 1337 uid = 0 สนุกสำหรับ @ p0sixninja
จากสิ่งที่เราสามารถอ่านได้ในไฟล์ บัญชี Twitter ของ Hickeyมันคือ หนึ่งในจุดบกพร่องที่ร้ายแรงที่สุดในประวัติศาสตร์ UNIX / Linuxเนื่องจากส่งผลกระทบต่อ Linux และยังคงส่งผลกระทบต่อ macOS, Solaris และระบบอื่น ๆ ที่ไม่ใช่ glibc และสำหรับระบบของ Apple นักพัฒนาสามารถสร้างแพตช์ได้ แต่ บริษัท อาจต้องใช้เวลาสักครู่ในการนำไปใช้กับระบบปฏิบัติการ มีผลกับ macOS 11.2
สำหรับนักพัฒนาบางคนเช่น osxreserverพวกเขาคิดว่าเป็นเรื่องตลกที่แม้ว่าพวกเขาจะรู้วิธีแก้ไขด้วยตนเอง พวกเขาไม่สามารถทำได้เนื่องจากสิทธิ์ส่วนตัวดังนั้นพวกเขาจะต้องรอให้ Apple ปล่อยอัปเดตเพื่อแก้ไขข้อบกพร่องที่ใน Linux ได้รับการแก้ไขเป็นเวลาหนึ่งสัปดาห์ และนั่นเป็นข้อดีอย่างหนึ่งของการใช้ซอฟต์แวร์เช่นเดียวกับที่เราใช้ในที่นี้