'Pantera' w niebezpieczeństwie – dziura w Mac OS X 10.3.2

Najnowsza edycja 'Pantery' – systemu operacyjnego Mac OS X 10.3.2 - zawiera niebezpieczną lukę w komponencie o nazwie AFP (Apple Filling Protocol), która może doprowadzić do kradzieży danych oraz niezaszyfrowanych haseł wysyłanych z komputera użytkownika.

Już w systemie Mac OS X 10.2 zaktualizowano komponent AFP (Apple Filling Protocol), który pozwala na nawiązywanie bezpiecznych połączeń z wykorzystaniem protokołu SSH (Secure Shell). Dopiero teraz zauważono jednak fakt, iż w sytuacji gdy użytkownik wymaga tego typu bezpiecznego połączenia, system nie podaje jakiejkolwiek informacji o braku możliwości ustanowienia połączenia z wykorzystaniem SSH (nie pojawia się też komunikat „Opening Secure Connection"), domyślnie wykorzystując połączenie niezabezpieczone, co w rezultacie może doprowadzić do przesyłania przykładowo niezaszyfrowanych haseł poprzez niezabezpieczoną sieć komputerową.

Luka w najnowszej Panterze wykryta została przez Chrisa Adamsa – administratora sieci jednej z firm w San Diego w Kalifornii. W opublikowanym przez siebie raporcie podkreśla on, iż problem jest tym poważniejszy, iż komponent AFP traktuje bezpieczne połączenia SSH, jako opcję, a nie ustawienie domyślne.

Ów błąd został rzekomo zgłoszony przez Adamsa do koncernu Apple już w grudniu 2003 roku, jednak do tej pory nie doczekał się jakiejkolwiek odpowiedzi.

Więcej informacji o wykrytej dziurze:

http://www.securityfocus.com/archive/1/355548/2004-02-27/2004-03-04/0


Zobacz również