φ(..)メモメモ

Unixの「sudo」コマンドで2013年3月に報告された脆弱性が、AppleのOS Xでは修正されないままになっているという。脆弱性検証ツール「Metasploit」は8月29日、この脆弱性を突くコードをMetasploitに追加したことを明らかにした。
sudoの認証回避の脆弱性は3月に報告されたもので、時刻を1970年1月1日に設定することにより、パスワードを入力しなくてもroot権限を取得できてしまう恐れがある。特にOS Xなどでは危険が大きいと指摘されていた。この脆弱性はsudo 1.8.6p7と1.7.10p7で修正されている。
しかし、セキュリティ企業のSophosによると、OS Xではsudoがまだ古いバージョンのままになっていて、脆弱性は修正されていない。このため管理者パスワードを入力しなくても、「systemsetup」ユーティリティを使って簡単にOS Xに変更を加えることができてしまうという。

OS Xに放置された脆弱性、root権限を取得される恐れ - ITmedia エンタープライズ