Falha encontrada no OS X Lion revela senha de usuários em arquivo de texto

Conforme relata o Tecnoblog, uma falha de segurança crítica foi encontrada no sistema operacional OS X, da Apple. Enquanto grande maioria das falhas de segurança exploradas com o OS X se originam em aplicativos de terceiros (Adobe Flash e Java, por exemplo), esta ocorre no próprio sistema, gravando o login e senha do usuário em um arquivo de texto completamente desprotegido.

A vulnerabilidade está restrita a algumas configurações específicas e foi relatada no começo do mês pelo pesquisador de segurança David Emery na lista Cryptome. Segundo ele, com a atualização 10.7.3 para o OS X a Apple ativou um log de debug para todo o sistema, que por algum motivo grava o login e senha dos usuários no próprio log, em texto puro.

Ao que parece, a vulnerabilidade atinge sistemas em que o usuário usava a criptografia FileVault no seu HD antes de atualizar para o OS X Lion, atualizou para o OS X Lion e não está usando o FileVault 2. Nessas configurações, os arquivos protegidos não estão tão protegidos assim.

Esse log está em uma área desprotegida, que pode ser acessada por qualquer pessoa com login do Mac em questão. Outra forma de acessá-lo, é conectando o HD do Mac via Firewire. O log é mantido por apenas algumas semanas, então quem atualizou na época em que o update 10.7.3 foi liberado provavelmente tem mais senhas armazenadas do que quem fez a atualização ontem apenas.

A Apple ainda não se pronunciou sobre o assunto.