Sudo 漏洞隐患不断，macOS 也受牵连！

整理 | 郑丽媛

出品 | CSDN（ID：CSDNnews）

前一阵 Sudo 隐藏了 10 年的漏洞终于被发现：任何本地用户无需密码就可以获取 root 权限。相较于先前发现的两个漏洞，这个漏洞危险性极高，不过好算是在酿成大祸之前被发现，同时 Sudo 官方也提供了解决方案：版本升级至 1.9.5p2 或更高版本（下载地址为：https://www.sudo.ws/stable.html）。

由于发现并详析该漏洞的云安全和合规解决方案公司 Qualys 在报告中指出，CVE-2021-3156 （该漏洞的编号）影响范围是：绝大多数 Linux 和 BSD 系统（Berkeley Software Distribution，Unix 的衍生系统），因此可想而知及时更新 Sudo 版本的大部分也是这些系统的用户。

然而，昨天 Hacker House 的联合创始人 Matthew Hickey 在推特上指出：最新版本的 macOS 也存在 CVE-2021-3156，并且还未修复！

漏洞确实存在，但苹果不予置评

Matthew Hickey 指出，他已确认 CVE-2021-3156 漏洞，并发现经过一定修改后，可以利用该漏洞授予攻击者访问 macOS root 账户的权限。

他表示：“要想触发这个漏洞，只要覆盖 argv[0] 或创建一个符号链接，操作系统就会暴露在上个礼拜就困扰着 Linux 用户的本地 root 漏洞。”

Matthew Hickey 的发现也得到了当今领先的 macOS 安全专家之一 Patrick Wardle 的私下验证，并已向外媒 ZDNet 证实漏洞确实存在：

macOS（包括最新的 11.2 版本）似乎也会受到 Sudo CVE-2021-3156 漏洞影响。

随后，这一事实由卡内基梅隆大学 CERT 协调中心的漏洞分析师 Will Dormann 公开发布：

可以在 x86_64 和 aarch64 上使用 macOS Big Sur 进行确认。

此外，Matthew Hickey 还表示，即使更新了苹果在周一发布的安全补丁后，该漏洞还是可能在最新版本的 macOS 中被利用。

因此，有研究人员向苹果反映了这个问题，但苹果在调查该报告时却不予置评。不过鉴于这个漏洞的严重性，苹果还是有很大可能为此发布补丁。

该漏洞也会影响 IBM AIX 系统

在 Matthew Hickey 揭露 macOS 会受到 CVE-2021-3156 漏洞影响时，多位网友也对此进行了测试，其中 @ astr0baby 提到，IBM AIX 系统也会被该漏洞利用：

由此见得，这次发现的 Sudo 漏洞波及范围极广，在有解决方案的情况下，大家请尽快修复该漏洞。

参考链接：

https://www.zdnet.com/article/recent-root-giving-sudo-bug-also-impacts-macos/

https://twitter.com/hackerfantastic/status/1356645638151303169

https://twitter.com/wdormann/status/1356666586371936258

程序员如何避免陷入“内卷”、选择什么技术最有前景，中国开发者现状与技术趋势究竟是什么样？快来参与「2020 中国开发者大调查」，更有丰富奖品送不停！

☞腾讯、字节跳动展开拉锯战；网易云音乐称酷狗抄袭；谷歌不再开发云游戏 | 极客头条

☞估值飙至 280 亿美元，Databricks G 轮融资 10 亿美元，谁说开源不挣钱？
☞开源 = 打破商业垄断？
☞三年已投 1000 亿打造的达摩院，何以仗剑走天涯？