OS X Lion ha una grave vulnerabilità di sicurezza che permette ad un malintenzionato di modificare la password di un account utente.
Il sistema operativo, infatti, permette agli utenti non-root di visualizzare i dati hash della password. Di conseguenza, un aggressore informatico può potenzialmente utilizzare uno script Python per recuperare la password di un utente. Ad aggravare la situazione vi è anche il fatto che Lion che non richiede una password per cambiare il login dell’utente corrente: basterà quindi inserire in Terminale la stringa “dscl localhost -passwd /Search/Users/______” (con la parte finale sostituita con il nome utente) per creare una nuova password.
In attesa di un aggiornamento di sicurezza da parte di Apple, i consigli sono i soliti: disabilitate il login automatico, attivate la password anche dopo che il Mac sia andato in stand-by o sia partito lo screensaver e, infine, eliminate gli eventuali account ospite creati.