Die Update-Routine von FreeBSD hat eine Sicherheitslücke, die es Angreifern erlaubt, sensible Daten zu lesen - darunter das Backup des Master-Passworts. Der Angreifer braucht allerdings physikalischen Zugang zum Rechner, weswegen die Schwachstelle als weniger kritisch eingestuft wird. Wie die Spezialisten von
Securitytracker berichten, liegt der Fehler in der Update-Routine selbst, die heruntergeladene Aktualisierungen in ein Verzeichnis kopiert, in dem alle lokal angemeldeten Benutzer Leserechte haben. Der Benutzer kann so alle Dateien lesen, die das Update-Werkzeug aktualisiert hat. Dazu gehört beispielsweise auch das Backup des Hauptpassworts.
Die Entwickler haben die Schwachstelle erkannt und stellen auf ihrer
17.freebsd-update.asc:Webseite Lösungen bereit, die den Fehler beheben.