Falha permite alteração de senhas no OS X Lion

Nesta semana apareceram algumas notícias sobre uma falha de segurança no OS X Lion: uma falha que permitiria um usuário alterar a senha de outro usuário. A falha expõe uma fragilidade da arquitetura do Serviço de Diretório do Lion, mas as condições para que ela seja abusada podem ser evitadas.

A partir do dia 19 de setembro começaram a aparecer notícias sobre uma nova falha de segurança no OS X Lion. A falha de fato permite modificar a senha de qualquer outro usuário – por exemplo, um usuário padrão poderia modificar a senha de um usuário que administra o Mac e assim assumir o controle do computador.

Como todo Unix, o OS X possui um arquivo com contas de usuários do sistema em ‘/etc/passwd’, mas essas contas são usadas apenas por outros ‘daemons’ do sistema ou quando o sistema é iniciado no modo ‘single-user’. Em todos os outros casos é usado o Serviço de Diretório.

A falha descoberta está justamente no Serviço de Diretório, que registra uma série de informações do sistema, inclusive sobre os usuários. Infelizmente as proteções do serviço não foram muito bem projetadas e o acesso às informações não é bem controlado, permitindo que qualquer usuário consiga os hashes das senhas e inclusive alterar a senha de outros usuários.

A rigor quando um hacker está de posse dos hashes, ele poderia fazer um ataque de dicionário para tentar adivinhar as senhas e com isso obter acesso ao computador, mas nesse caso o hacker nem precisa se dar o trabalho, ele pode usar a própria ferramenta do sistema para modificar qualquer outra senha, inclusive de um administrador.

O estrago só não é tão grande porque só é possível se aproveitar dessa falha se o espírito-de-porco já possuir acesso ao sistema, seja porque possui uma conta de usuário, uma conta de convidado (‘Guest’), ou porque está usando o computador com a conta de alguém.

Felizmente existem opções para controlar o acesso ao Mac e afastar de vez o risco de abuso da falha do Serviço de Diretório do OS X Lion, pelo menos enquanto aguardamos a liberação de uma atualização pela Apple: recomendo seguir as dicas que já foram postadas em 6 dicas de segurança para Mac e Desabilite a conta de convidado.

Outra dica fundamental, além dos posts acima, é transformar as contas do sistema em contas gerenciadas. Com contas gerenciadas é possível usar o “Controles Parentais” e remover o acesso aos aplicativos “Terminal” e “X11”.

Mac Defender e novos malwares para Mac OS X

Atualização de Software

Apple liberou nesta terça-feira 31 de maio uma nova Atualização de Segurança para o Mac OS X.

A 2011-03 atualiza a lista de assinaturas de malwares reconhecidos pelo Mac OS X e implementa algumas melhorias. Para entender o porquê dessa atualização é preciso lembrar alguns recentes fatos relacionados à segurança dos Mac’s.

Continue reading

Atualização do Safari 5.0.1

A Apple liberou nesta quarta-feira, 28 de julho, a atualização do navegador Safari para a versão 5.0.1 para Mac OS X v10.5.8, Mac OS X v10.6.2 ou mais recente e também para Windows 7, Vista e XP. A atualização para a versão 5.0.1 traz como principal novidade as Extensões para Safari (“Safari Extensions”) e a Galeria de Extensões. As extensões permitem customizar o navegador e adicionar funcionalidades desenvolvidos por terceiros. A nova atualização também inclui melhorias de estabilidade, acessibilidade e segurança.

Os usuários de Mac não devem se iludir com relação a segurança do Safari. Problemas existem com qualquer software e como podemos ver a diante, várias falhas de segurança permitem que informações sejam enviadas para terceiros ou que códigos maliciosos sejam executados no Mac.

Continue reading

Alerta: Nova Vulnerabilidade no Safari e Firefox

Foi divulgado no final de junho uma nova vulnerabilidade que afeta os navegadores Firefox e Safari. Uma correção para essa vulnerabilidade está prevista para a versão 3.6.7 do navegador Firefox, mas ainda não há nenhuma previsão de correção para o Safari (um novo post avisará da disponibilidade da atualização).

Continue reading

Alerta: Apple Libera Atualização: iTunes 9.2

A Apple liberou nesta quarta-feira, 16 de junho, a atualização do iTunes para a versão 9.2. A atualização contém correções de segurança e adiciona novas funcionalidades, como o suporte para iPhone 4.

Continue reading