Slaba varnost sistema MacOS X
Mandi
26. jun 2011 ob 11:31:47
Apple je izdal komplet popravkov za OSX Snow Leopard. Po namestitvi od 250 do 1300 MB popravkov (odvisno od vaše različice) bo sistem pripravljen za nadgradnjo na prihajajoči MacOS X Lion, imel boljšo podporo za IPv6 in bolj dosledno preprečeval poskuse namestitve "popularnega" scareware-a MacDefender. Hkrati so popravili kar 36 resnih varnostnih pomankljivosti.
Kratek prelet čez seznam lukenj razkrije marsikaj zanimivega. Mace je mogoče resetirati kar preko Wi-Fi-ja, AppStore v določenih primerih omogoča drugim uporabnikom sistema vpogled v geslo, nadzor nad sistemom je mogoče dobiti že z odprtem posebej pripravljenega dokumenta ali slike, vse datoteke pa prebirati zaradi luknje v FTP-strežniku, v določenih primerih zaobiti preverjanje že preklicanega SSL certifikata, in še in še.
Levji delež pomanjkljivosti deluje na osnovi prekoračitve pomnilnika (buffer overflow). Do prekoračitve pride, ko program v spomin naloži več podatkov, kot je predhodno predvideval, in s tem prepiše kritične dele spomina. Če do tega pride nenamerno (hrošč), se bo program preprosto sesul, v primeru napada pa pa se bo pognala napadalčeva zlovešča koda in mu omogočila nadzor nad sistemom (več, še več).
Prekoračitev pomnilnika je znana že veliko let in zanjo obstaja kup obramb, vendar jih MacOS X uporablja le malo in še to delno, s čimer močno zaostaja za konkurenčnimi operacijskimi sistemi. Po nekaterih ocenah je to neposredna posledica slabe varnostne politike podjetja Apple, kjer dajejo obliki znatno prednost nad tehničnimi vprašanji. Avtor omenjene študije izpostavlja izredno počasen odziv podjetja na prijave napak (več kot pol leta), polovičarsko delovanje zaščite proti malwaru ter celo načrtno zavajanje javnosti o domnevno večji varnosti operacijskega sistema MacOS X s spretnimi oglaševalskimi kampanjami. Nekaj je gotovo - z večanjem tržnega deleža bo MacOS X postal vedno bolj priljubljena tarča napadov; to toliko bolj, če se Apple ne bo podvizal in uredil stvari kot je treba.