По сообщению из блога Defence in Depth в OS X Lion существует проблема, из-за которой становится возможным изменять пароли пользователей без предварительной аутентификации. Другими словами, кто-то может зайти в терминал на вашем компьютере и изменить пароль для вашего пользователя, даже не зная при этом ваш текущий пароль. Хотя ранее говорилось, что для совершения данного действия злоумышленнику необходим прямой доступ к вашему компьютеру, Defence in Depth предлагает сценарий, по которому возможно осуществить смену пароля удалённо.
Пользователь с правами администратора при использовании Safari может попасть на сайт, на котором размещён вредоносный Java-апплет. Запустившись, он соединится со злоумышленником, предоставив доступ к оболочке системы. И хотя у злоумышленника в данном случае будут лишь ограниченные права, он всё равно сможет сменить пароль текущего пользователя.
Конечно, в данном случае всё зависит от вашей личной внимательности в отношении вашего компьютера и его безопасности. Если вы даёте пользоваться вашим компьютером любому встречному, а в интернете запускаете любой апплет, который увидите, то, определённо, у вас есть причины беспокоиться. В противном случае риск быть взломанным таким способом крайне мал, поскольку хакеру понадобится ещё и имя текущего пользователя. Для собственного спокойствия и повышения безопасности можно совершить несколько превентивных действий:
- Отключите автоматический вход пользователя. Откройте «Системные настройки» (System Preferences), выберите раздел «Пользователи и группы» (Users & Groups). Кликните на замок для аутентификации, выберите «Параметры входа» (Login Options) и в меню Автоматический вход» (Automatic Login) установите «Выкл.» (Off).
- Отключите гостевые аккаунты. В той же секции «Пользователи и группы» выберите «Пользователь-гость» Guest User. Вы увидите опцию «Разрешить гостям входить в систему этого компьютера« (Allow guests to log in to this computer), которая скорее всего будет включена. Отключите её.
- Включите запрос пароля при выходе из скринсейвера и спящего режима. Зайдите в Системные настройки, далее в раздел «Защита и безопасность» (Security & Privacy). Откройте вкладку «Общие» (General) и выберите «Запрашивать пароль … при выходе из режима сна или заставки» (Require password after ... sleep or screensaver begins). Поле можно оставить со значением «сразу» (Immediately) для запроса пароля непосредственно после включения спящего режима или скринсейвера, либо указать желаемое время, после которого система запросит пароль.
- Защитите паролем доступ к системным настройкам. В разделе «Защита и безопасность» выберите «Запрашивать пароль администратора для доступа к настройкам со значком замка» (Require an administrator password to access system preferences with lock icons).
- Используйте родительский контроль для ограничения доступа к приложениям. Вам потребуется зайти в Системные настройки и выбрать Родительский контроль (Parental Controls), затем выбрать аккаунт администратора и во вкладке приложений, в секции Разрешенные программы, отключить Терминал и X11. Эти манипуляции необходимо повторить со всеми административными аккаунтами в системе. Минус данного способа в том, что вы ограничиваете и собственный доступ к системе, но для ваших технически менее подкованных друзей и семьи это будет неплохим вариантом для повышения безопасности.
[via LifeHacker]
