OS X Lion’da bilgisayar korsanlarının Lion yüklü herhangi bir makinenin şifresini değiştirmesine izin veren bir güvenlik açığı güvenlik blogu Defense in Depth tarafından keşfedildi.
Blogun yazarlarından Patrick Dunstan, yazdığı son blog yazılarından birisinde “Yönetici haklarına sahip olmayan kullanıcılar gizlenmiş dosyalara doğrudan ulaşamazken, Lion yönetici haklarına sahip olmayan kullanıcılara bile karıştırılmış şifre bilgisini görüntüleme imkânı sağlıyor.” şeklinde durumu izah etti. Sonuçta, Dunstan’ın bizzat kendisinin hazırladığı basit bir Pyhton kod dizisini koşturan herkes bilgisayar üzerindeki bir kullanıcının şifresini elde edebiliyor.
Daha da kötüsü, OS X Lion’ın mevcut bir kullanıcının giriş yetkilerini değiştirmek için kullanıcılara şifre girmeyi şart koşmadığı söyleniyor. Bu demek oluyor ki, “dscl localhost -passwd /Search/Users/Roger” komutunu koşturan bir kişi Roger adlı kullanıcı için yeni bir şifre yaratabilir. Tabii, bu açıktan yararlanmak isteyen korsanın bilgisayara yerel erişiminin bulunması, ayrıca dizin servisi erişimine sahip olması gerekiyor. CNET, kullanıcıların otomatik giriş özelliğini kaldırması, uyku modu ve ekran koruyucu şifrelerini etkinleştirmesi ve misafir hesaplarını devre dışı bırakması gibi çözüm önerileri sunuyor.