Неприятный баг обнаружен в операционной системе OS X. После февральского апдейта OS X Lion 10.7.3 в некоторых конфигурациях системы появился отладочный лог, с указанием паролей всех логинившихся пользователей с момента апдейта. Поскольку отладочный лог находится вне зашифрованной области диска, то все пароли хранятся в открытом виде. Уязвимость касается только тех, кто использовал стандартную версию FileVault (шифрование системного раздела), в то же время FileVault 2 (полное шифрование диска) не оставляет ни одного файла вне зашифрованной области.

Баг случайно оставил программист компании Apple, который забыл убрать флаг для дебага DEBUGLOG в коде системы. Обнаружил его независимый специалист Дэвид Эмери из компании DIE Consulting, он 5 мая опубликовал сообщение в списке рассылки Cryptome.

9 мая вышел апдейт OS X 10.7.4, закрывающий эту уязвимость в FileVault.

Нужно добавить, что апдейт не исправляет файлы, которые уже ушли в бэкап и хранятся, например, на внешних носителях — там тоже есть отладочный лог с паролями. С 1 февраля 2012 года, когда вышел апдейт OS X Lion 10.7.3, минуло три полных месяца, так что масштаб утечки паролей может быть весьма существенным.

Интересно ещё то, что один из пользователей Apple заметил появление отладочного лога с паролями три месяца назад. Он обратился с вопросом на форуме техподдержки Apple — мол, это баг или фича? Никто ему ничего не ответил.



Оставить мнение