Нещодавно дослідники знайшли критичну вразливість в утиліті sudo, що призначена для виконання від імені інших користувачів.
Вразливість CVE-2021-3156 дозволяє отримати root-доступ без введення пароля. Тож сторонні користувачі можуть викликати помилку «переповненої купи» (heap overflow) в sudo та розширити свої привілеї у всій системі.
Спочатку вразливість тестували на Ubuntu, Debian і Fedora, але дослідники припускали, що баг впливає і на BSD. Тепер з'ясувалось, що вразливість діє і для macOS.
Співзасновник Hacker House Метью Гікі помітив, що з кількома модифікаціями баг цілком застосовується і для macOS. Цей метод перевірили інші експерти з безпеки — й вони дійшли тих самих висновків.
Дослідники кажуть, що вразливість можна експлуатувати в останній версії macOS, навіть з виправленнями безпеки, які Apple випустила 1 лютого. Також виявилось, що цей баг діє для систем IBM AIX.
Ще немає коментарів