По сообщению из блога Defence in Depth в OS X Lion существует проблема, из-за которой становится возможным изменять пароли пользователей без предварительной аутентификации. Другими словами, кто-то может зайти в терминал на вашем компьютере и изменить пароль для вашего пользователя, даже не зная при этом ваш текущий пароль. Хотя ранее говорилось, что для совершения данного действия злоумышленнику необходим прямой доступ к вашему компьютеру, Defence in Depth предлагает сценарий, по которому возможно осуществить смену пароля удалённо.
Пользователь с правами администратора при использовании Safari может попасть на сайт, на котором размещён вредоносный Java-апплет. Запустившись, он соединится со злоумышленником, предоставив доступ к оболочке системы. И хотя у злоумышленника в данном случае будут лишь ограниченные права, он всё равно сможет сменить пароль текущего пользователя.
Конечно, в данном случае всё зависит от вашей личной внимательности в отношении вашего компьютера и его безопасности. Если вы даёте пользоваться вашим компьютером любому встречному, а в интернете запускаете любой апплет, который увидите, то, определённо, у вас есть причины беспокоиться. В противном случае риск быть взломанным таким способом крайне мал, поскольку хакеру понадобится ещё и имя текущего пользователя. Для собственного спокойствия и повышения безопасности можно совершить несколько превентивных действий:
- Отключите автоматический вход пользователя. Откройте «Системные настройки» (System Preferences), выберите раздел «Пользователи и группы» (Users & Groups). Кликните на замок для аутентификации, выберите «Параметры входа» (Login Options) и в меню Автоматический вход» (Automatic Login) установите «Выкл.» (Off).
- Отключите гостевые аккаунты. В той же секции «Пользователи и группы» выберите «Пользователь-гость» Guest User. Вы увидите опцию «Разрешить гостям входить в систему этого компьютера« (Allow guests to log in to this computer), которая скорее всего будет включена. Отключите её.
- Включите запрос пароля при выходе из скринсейвера и спящего режима. Зайдите в Системные настройки, далее в раздел «Защита и безопасность» (Security & Privacy). Откройте вкладку «Общие» (General) и выберите «Запрашивать пароль … при выходе из режима сна или заставки» (Require password after … sleep or screensaver begins). Поле можно оставить со значением «сразу» (Immediately) для запроса пароля непосредственно после включения спящего режима или скринсейвера, либо указать желаемое время, после которого система запросит пароль.
- Защитите паролем доступ к системным настройкам. В разделе «Защита и безопасность» выберите «Запрашивать пароль администратора для доступа к настройкам со значком замка» (Require an administrator password to access system preferences with lock icons).
- Используйте родительский контроль для ограничения доступа к приложениям. Вам потребуется зайти в Системные настройки и выбрать Родительский контроль (Parental Controls), затем выбрать аккаунт администратора и во вкладке приложений, в секции Разрешенные программы, отключить Терминал и X11. Эти манипуляции необходимо повторить со всеми административными аккаунтами в системе. Минус данного способа в том, что вы ограничиваете и собственный доступ к системе, но для ваших технически менее подкованных друзей и семьи это будет неплохим вариантом для повышения безопасности.
[via LifeHacker]
