Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Onderzoeker vindt nieuwe kwetsbaarheden in OS X Lion

Een beveiligingsonderzoeker heeft in OS X Lion een aantal beveiligingsgaten gevonden die nog niet in oudere versies van Apples besturingssysteem aanwezig waren. Door de kwetsbaarheden kunnen mogelijk wachtwoorden worden gekraakt.

Beveiligingsonderzoeker Patrick Dunstan heeft ontdekt dat elke gebruiker in OS X Lion de ShadowHashData-bestanden van een willekeurige andere gebruiker kan opvragen; bij oudere OS X-versies was hiervoor nog het root-wachtwoord nodig. Met deze hashbestanden kan geprobeerd worden het wachtwoord van een gebruiker te achterhalen, bijvoorbeeld via een dictionary-aanval of met behulp van rainbow tables. Dunstan heeft een Python-script online gezet waarmee geprobeerd kan worden om de hashes in OS X Lion te kraken.

Dunstan is nog meer problemen in Lion tegengekomen. Zo is het mogelijk om in de directory services het wachtwoord voor de huidige ingelogde gebruiker te wijzigen zonder dat er om authenticatie wordt gevraagd. Dit is een potentieel beveiligingsprobleem als bijvoorbeeld een ingelogde gebruiker een terminalscherm onbeheerd open laat staan.

Het is nog niet duidelijk of Apple de genoemde gaten op korte termijn zal dichten. Vorige week bracht het bedrijf een patch uit waarmee ssl-certificaten van DigiNotar in OS X en Safari niet langer als betrouwbaar worden beschouwd. Daarmee was Apple het laatste grote bedrijf die dit probleem aanpakte.

Door Dimitri Reijerman

Redacteur

19-09-2011 • 11:56

81 Linkedin Google+

Submitter: TimeVortex

Reacties (81)

Wijzig sortering
Lion heeft nog een ander probleem: bij LDAP wordt bij authenticatie enkel gecontroleerd of de gebruikersnaam bij het domein bekend, je kunt elk welk willekeurig wachtwoord in het wachtwoord veld opgeven en je kunt aanmelden op de client. (zelf ondervonden)

Link: http://www.theregister.co...c_osx_lion_security_hole/

[Reactie gewijzigd door ieperlingetje op 19 september 2011 12:21]

Het gaat om proportionaliteit, ik vind de AD/ldap nog niet zo'n issue (overigens neem ik het aan dat het over ldap op osx server hebben, anders is het geen osx probleem), wel het feit dat je als gewone gebruiker bij de hashed shadowpasswords kunt komen.

wederom, niet echt vergelijkbaar met <insert random windows root exploit>

Overigens zijn al die apple fanboys die niet willen inzien dat alle software bugs bevatten net zo erg als al die windows fanboys die dit soort nieuws als een soort rechtvaardiging van de problemen op windows zien.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Apple

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True