07. 11. 2014

Charakteristika zranitelnosti

Pokud je na cílovém počítači spuštěn upravený skript, lze získat přístup k systému s nejvyšším oprávněním (root access) i bez potřeby znalosti hesla. Bližší informace budou zveřejněny v lednu 2015.

Postižené systémy

Potvrzeno na operačních systémech Mac OS X 10.10 Yosemite, dále na verzích 10.9 a 10.8. Je možné, že chyba postihuje i starší verze.

Dopad zranitelnosti

Umožňuje převzít útočníkovi úplnou kontrolu nad systémem, krádež citlivých údajů a dat, instalaci škodlivého software nebo provádět změny v počítači bez nutnosti zadávání hesla.

Řešení

Doporučuje se omezit obvyklé denní spouštění systému s administrátorskými právy, ale využívat spíše běžné uživatelské účty. Dále je vhodné využít nástroje pro šifrování a dešifrování dat na disku za běhu systému, jako například Apple FileVault. Společnost Apple plánuje záplatovat chybu v nejbližší době, nejpozději do ledna 2015, kdy budou zveřejněny detaily zranitelnosti.

CVE

N/A

Odkazy

http://thehackernews.com/2014/11/rootpipe-critical-mac-os-x-yosemite.html
http://www.securityweek.com/mac-os-x-affected-critical-rootpipe-privilege-escalation-vulnerability
http://appleinsider.com/articles/14/11/04/truesec-outlines-rootpipe-privilege-escalation-vulnerability-in-mac-os-x-yosemite