Последнее обновление операционной системы Apple Mac OS X Lion, установленное на миллионах компьютеров по всему миру, содержит опасную программистскую ошибку, которая раскрывает пароли для материалов, хранящихся в первой версии системы шифрования FileVault, применяемой самой Apple. Независимый ИТ-консультант Девид Эмери в блоге на сайте Cryptome.org пишет, что по какой-то причине разработчики оставили в текущей версии Mac OS X 10.7.3 дебаггинг-режим в первой версии FileVault, в котором пароль становится доступен в виде простого текста. Пользователи, подвергшиеся данной уязвимости, - это те, кто обновился до Lion, но ранее использовал прежнюю версию Mac OS X Snow Leopard с содержащимся в ней FileVault. Дебаггер в новой версии ОС будет записывать Lion-пароли для всех, кто входит в ОС с того момента, как ОС становится обновлена до версии 10.7.3. Данное обновление было выпущено в феврале. На сегодня у Apple имеется две версии FileVault: первая позволяет шифровать содержимое домашней папки пользователя при помощи 128-битного AES-алгоритма, вторая, FileVault2, поставляемая с OS X Lion, может шифровать весь жесткий диск. Когда кто-либо обновляется до Lion, но по-прежнему использует первый вариант шифратора, то его пароль может быть получен в виде простого текста. Дебаггер, работающий в Lion, записывает все пароли пользователя и предоставляет данные пользователям с администраторскими привилегиями. Еще хуже, что пароли можно прочесть и другим путем. Эмери говорит, что Mac можно загрузить со внешнего диска с образом Lion и получить пароль в режиме доступа к файловой системе в режиме восстановления. Данная операция доступна из командной оболочки системы и там же можно получить доступ к ключам системы шифрования. Эмери говорит, что до тех пор, пока Apple не ликвидировала проблему штатным путем - обновлением кода - ее можно ликвидировать самим. Во-первых, можно обновиться до FileVault 2, здесь атакующему придется использовать FireWire-диск, но знать хотя бы один пароль в систему. Также можно поставить пароль в Firmware, который будет активен при подключении внешних носителей к компьютеру. ИТ-специалист говорит, что данная ошибка хотя и очень опасна, но все-таки требует физического доступа к компьютеру и удаленно ее нельзя использовать. Кроме того, он пишет, что лично ему неизвестно о фактах взлома закрытых данных на практике при помощи данного метода. "Так или иначе, но можно только гадать, почему Apple сохранила такой опасный режим отладки в уже используемом коде. Очевидно, что использовать данную систему в определенных ситуациях можно и это будет очень опасно", - говорит Эмери. Пост Девида Эмери доступен в оригинале по адресу http://cryptome.org/2012/05/apple-filevault-hole.htm (08:36) 07.05.2012 http://cybersecurity.ru/crypto/150447.html
OS X Lion показывает пароли пользователей в логах Неприятный баг обнаружен в операционной системе OS X. После февральского апдейта OS X Lion 10.7.3 в некоторых конфигурациях системы появился отладочный лог, с указанием паролей всех логинившихся пользователей с момента апдейта. Поскольку отладочный лог находится вне зашифрованной области диска, то все пароли хранятся в открытом виде. Уязвимость касается только тех, кто использовал стандартную версию FileVault (шифрование системного раздела), в то же время FileVault 2 (полное шифрование диска) не оставляет ни одного файла вне зашифрованной области. Баг случайно оставил программист компании Apple, который забыл убрать флаг для дебага DEBUGLOG в коде системы. Обнаружил его независимый специалист Дэвид Эмери из компании DIE Consulting, он 5 мая опубликовал сообщение в списке рассылки Cryptome. 9 мая вышел апдейт OS X 10.7.4, закрывающий эту уязвимость в FileVault. Нужно добавить, что апдейт не исправляет файлы, которые уже ушли в бэкап и хранятся, например, на внешних носителях — там тоже есть отладочный лог с паролями. С 1 февраля 2012 года, когда вышел апдейт OS X Lion 10.7.3, минуло три полных месяца, так что масштаб утечки паролей может быть весьма существенным. Интересно ещё то, что один из пользователей Apple заметил появление отладочного лога с паролями три месяца назад. Он обратился с вопросом на форуме техподдержки Apple — мол, это баг или фича? Никто ему ничего не ответил. Дата: 10.05.2012 http://www.xakep.ru/post/58664/