Lion: grave vulnerabilità consente di modificare la password utente

Mac OS X Lion ha una grave vulnerabilità di sicurezza che può consentire ad un hacker di modificare la password di un account utente, lo rivela il blog Defence in Depth. Il sistema operativo permette agli utenti non-root di visualizzare i dati della password hash. Di conseguenza, un pirata informatico può potenzialmente utilizzare uno script Python per recuperare la password di una utente.

Ad aggravare la situazione è la circostanza che Lion non richiede una password per cambiare login dell’utente corrente. Immettendo il comando “dscl localhost -passwd /Search/Users/______,”, con il vuoto sostituito con il nome account di un utente, sarà quindi possibile digitare una nuova password. Tuttavia, per poter portare un attacco, l’hacker ha bisogno di accedere al Mac, così come al servizio Directory Service.

Il problema non interessa chi ha disabilitato il login automatico sul proprio Mac, abilitato la password per uscire dallo Stop o dal salvaschermo, oppure ha disattivato l’account ospite. Fatta eccezione per quest’ultimo, le altre sono misure di sicurezza abbastanza comuni per l’utente medio Mac (leggere anche Come difendere il Mac in pubblico).