शोधकर्ताओं ने पाया है कि सुडो उपयोगिता को लक्षित करने वाली "बैरन सेमेडिट" भेद्यता ऐप्पल मैकओएस से भी समझौता कर सकती है। पढ़ते रहिये!
पिछले कुछ वर्षों में, हमने लिनक्स-आधारित कई डरावने कारनामों को सुर्खियों में आते देखा है। अभी कुछ दिन पहले, जब शोधकर्ता क्वालिस में आये "सुडो" कार्यक्रम में विशेषाधिकार वृद्धि भेद्यता का खुलासा किया, उन्होंने भविष्यवाणी की कि बग यूनिक्स परिवार के अन्य ऑपरेटिंग सिस्टम को प्रभावित कर सकता है। खैर, वे सही थे: सुरक्षा शोधकर्ता मैथ्यू हिक्की ने पुष्टि की है कि CVE-2021-3156 भेद्यता (AKA "बैरन सेमडिट") को Apple macOS पर रूट एक्सेस प्राप्त करने के लिए आसानी से अनुकूलित किया जा सकता है।
MacOS की अंतर्निहित नींव डार्विन पर आधारित है, जो स्वयं FreeBSD ऑपरेटिंग सिस्टम के विभिन्न तत्वों का उपयोग करता है। सामान्य यूनिक्स उपयोगिताओं जैसी समस्या यहीं निहित है sudo
और sudoedit
परिणामस्वरूप वेनिला macOS इंस्टालेशन में आउट-ऑफ़-द-बॉक्स मौजूद होते हैं। इस रहस्योद्घाटन के बारे में समस्याग्रस्त बात यह है Apple की ओर से कोई आधिकारिक समाधान अभी तक उपलब्ध नहीं है. यानी नया भी एआरएम-आधारित एम1 मैक आक्रमण वेक्टर के प्रति संवेदनशील हैं।
नियमित लिनक्स वितरण के विपरीत, Apple के कारण macOS उपयोगकर्ताओं के लिए सिस्टम के sudo बाइनरी को पैच वाले से बदलने का कोई सीधा तरीका नहीं है। सिस्टम इंटीग्रिटी प्रोटेक्शन विशेषता। ध्यान रखें कि Apple के नवीनतम सुरक्षा अद्यतन को लागू करने पर भी (1 फरवरी को जारी किया गया), जिसमें macOS Big Sur 11.2, सुरक्षा अद्यतन 2021-001 कैटालिना, और सुरक्षा अद्यतन 2021-001 Mojave शामिल हैं, भेद्यता को दूर करने के लिए पर्याप्त नहीं है. परिणामस्वरूप, संपूर्ण macOS पारिस्थितिकी तंत्र अभी भी असुरक्षित बना हुआ है बैरन सामेडिट.
हमें उम्मीद है कि Apple सार्वजनिक रूप से इस गंभीर मुद्दे को स्वीकार करेगा और इसे ठीक करने की अपनी योजनाओं में पारदर्शी होगा। MacOS के अलावा, CVE-2021-3156 के नवीनतम संस्करण पर भी प्रभाव पड़ता है आईबीएम एईएक्स और सोलारिस, जो इसे अब तक खोजी गई सबसे विनाशकारी स्थानीय विशेषाधिकार वृद्धि कमजोरियों में से एक बनाता है।