Příkaz Sudo (substitute user do) slouží v Linuxu a macOS k provedení akce s právem jiného uživatele, což bývá nejčastěji administrátor (root). Pokud chce uživatel příkaz Sudo využít, je zpravidla dotázán na heslo uživatele, jehož jménem chce příkaz provést.
A právě v této fázi objevil bezpečnostní expert z Applu Joe Vennix chybu (označená jako CVE-2019-18634), která mohla vést až k zadání příkazu s administrátorskými právy. Takový příkaz mohl provést škodlivý program nebo útočník s nízkými oprávněními.
Dochází k tomu ve specifickém případu, kdy je u příkazu Sudo zapnuta volba „pwfeedback“. Pak může útočník zahltit systém. Volba „pwfeedback“ přitom slouží k vizuální ochraně zadávaného hesla, kdy znaky nahrazuje hvězdičkami. Ve většině systémů je vypnuta. Některé linuxové distribuce jako Linux Mint či Elementary OS ji mají zapnutou.
Informace o chybě byla zveřejněna až poté, co byla opravena. Konkrétně opravená verze Sudo nese označení 1.8.31. Obsahuje ji i nedávno vydaná verze macOS 10.15.2 Catalina, macOS 10.14.6 Mojave a macOS 10.13.6 High Sierra. Pokud je nemáte, tak je na čase aktualizovat.
