Un fost angajat NSA confirma o vulnerabilitate periculoasa a OS X 10.10.3 (Video)

OS X 10.10.3 ar fi trebuit sa rezolve printre altele si o vulnerabilitate extrem de periculoasa numita RootPipe, aceasta permitandu-le hackerilor sa obtina acces de administrator la Mac-urile utilizatorilor si sa le controleze fara vreo autentificare ulterioara, insa accesul local la Mac este necesar pentru intreaga operatiune.

Desi OS X 10.10.3 trebuia sa rezolve problema, un fost angajat al NSA demonstreaza in clipul video de mai sus ca ea ramane activa in sistmeul de operare al celor de la Apple, tot ceea ce vedem acolo fiind confirmat si de catre un cercetator de securitate informatica, astfel ca nu exista dubii cu privire la existenta problemei.

On my flight back from presenting at Infiltrate (amazing conference btw), I found a novel, yet trivial way for any local user to re-abuse rootpipe – even on a fully patched OS X 10.10.3 system. I the spirit of responsible disclosure, (at this time), I won’t be providing the technical details of the attack (besides of course to Apple). However, I felt that in the meantime, OS X users should be aware of the risk.

Fostul angat al NSA sustine ca foloseste o metoda de a eluda rezolvarea facuta de catre Apple pentru vulnerabilitatea existenta in OS X 10.10.3, un cercetator in securitate informatica afirmand in ziua lansarii actualizarii pentru OS X ca modificarea facuta de catre compania Apple poate fi eludata in diverse moduri.

Fostul angajat al celor de la NSA sustine ca a fost aproape de a demonstra vulnerabilitatea intr-un Apple Store al companiei Apple, insa in schimb a trimis toate detaliile privind aceasta problema de securitate catre compania americana, asa ca probabil in OS X 10.10.4 ea va fi rezolvata definitiv de catre americani.

Avand in vedere ca astazi am aflat despre o vulnerabilitate foarte grava existenta in peste 1500 de aplicatii disponibile in App Store, informatiile privind RootPipe cu siguranta nu pun intr-o lumina buna compania Apple, desi in cazul aplicatiilor vina nu este a celor din Cupertino, ci a dezvoltatorilor.