Турецкий исследователь безопасности выявил серьезную ошибку в macOS High Sierra. Уязвимость позволяет злоумышленнику получить доступ к компьютеру без пароля, а также доступ к мощным правам администратора. Apple выпустила патч для исправления уязвимости, затрагивающей почти все системы MacOS High Sierra.
Однако непатентованные системы остаются небезопасными …
Что такое ошибка?
Недостаток был предложен турецким разработчиком Леми Орханом Эрганом. Это позволило любому получить полные права администратора на компьютере MacOS High Sierra, просто введя «root» в качестве имени пользователя в диалоговом окне аутентификации. Затем, оставив поле пароля пустым и дважды нажав кнопку «Разблокировать», предоставляется полный административный доступ.
Теоретически, до патча, если вы оставите свой Mac без присмотра, кто-то может легко получить доступ и разрушить вашу машину. Например, они могут установить вредоносное ПО. , захват паролей использовании Keychain Access. , удалить или испортить свой Apple ID и многое другое.
Но Apple исправила проблему, верно?
Когда я написал эту статью, Apple выпустила обновление для системы безопасности, чтобы исправить проблему. В заявлении об обновлении содержимого безопасности Apple говорится: «При проверке учетных данных произошла логическая ошибка. Это было решено с помощью улучшенной проверки учетных данных ».
Исправление уже доступно в Mac App Store. Кроме того, обновление будет автоматически применяться для компьютеров Mac, работающих под управлением High Sierra 10.13.1, со среды 29 ноября. Apple расширила ситуацию следующим заявлением:
«Безопасность является главным приоритетом для каждого продукта Apple, и, к сожалению, мы столкнулись с этим выпуском macOS.
«Когда наши специалисты по безопасности узнали об этой проблеме во вторник днем, мы сразу же начали работу над обновлением, которое закрывает дыру в безопасности. Этим утром, начиная с 8:00, обновление доступно для загрузки, а начиная с сегодняшнего дня оно будет автоматически установлено на все системы, на которых установлена последняя версия (10.13.1) macOS High Sierra.
«Мы очень сожалеем об этой ошибке и приносим свои извинения всем пользователям Mac, как за то, что они выпустили эту уязвимость, так и за беспокойство, которое она вызвала. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить повторение этого ».
Но они уже знали об этом?
К сожалению для Apple, эта проблема уже всплыла — но не получила никаких действий. Член форума поддержки Apple опубликовал точные сведения об ошибке более двух недель назад. Исходная запись и ответы, похоже, рассматривают основную ошибку как потенциальную функцию устранения неполадок, а не как критическую угрозу безопасности.
Что мне теперь делать?
Ну, первое, что нужно сделать, это проверить наличие обновлений системы. Apple была настроена на автоматическое обновление патчей в последние 24 часа. Если автоматическое обновление не появилось, вы должны зайти в Mac App Store и найти его там. Кроме того, нажмите на эту ссылку .
Как только обновление загрузится, установите немедленно.
Это не работает
Если по какой-либо причине обновление не будет установлено, сначала выключите и включите систему, а затем повторите попытку. Apple автоматизировала процесс.
В противном случае выполните следующие действия, чтобы обезопасить свою систему:
- Откройте Spotlight, найдите « Утилиту каталога» , выберите соответствующую опцию
- Нажмите на замок, чтобы внести изменения; введите имя пользователя и пароль для учетной записи администратора
- Перейдите в Меню> Изменить
- Выберите Enable Root User ; создать пароль и подтвердить
Это, однако, пробел. Пожалуйста, попробуйте установить официальное обновление.
Глаза на источник
Когда Apple исправляет ошибку, глаза поворачиваются к Леми Орхану Эргану. Самозваный «мастер программного обеспечения» подвергается критике за несоблюдение руководящих принципов ответственного раскрытия. Ответственное раскрытие просит исследователей безопасности информировать компании об угрозах безопасности, чтобы у них было время исправить ошибку. После того, как ошибка устранена, исследователь может представить свои выводы общественности.
Конечно, эта система не всегда работает как задумано. Компании не отвечают, и исследователи в области безопасности становятся нетерпеливыми. В этих случаях создание публичной проблемы вынуждает руку компании заставлять их устранять угрозу безопасности.
Получив значительное количество критики, Эрган опубликовал ответ на Medium . Он объясняет, что он «не является ни хакером, ни специалистом по безопасности», продолжая: «Я сосредоточен исключительно на методах безопасного кодирования при программировании, но я никогда не могу назвать себя специалистом по безопасности».
Честно говоря, ошибка обсуждалась на форуме поддержки Apple. Кроме того, Эрган утверждает, что его коллеги по платежной фирме Iyzico раскрыли угрозу Apple 23 ноября, но так и не получили ответа.
Глаза на шаре
От источника к компании. Apple позволил этому проскользнуть в сеть? Одним словом, да: особенно если они знали об ошибке, как утверждает Эрган. К сожалению, мы не знаем правды, поэтому не можем дать точную оценку ситуации.
Даже после второго принудительного обновления за год (пока только второго принудительного обновления безопасности), Apple не должна волноваться. Количество вредоносных программ для MacOS и iOS растет. Количество вредоносных программ, нацеленных на , но Windows и Android остаются главными целями. Кроме того, у Apple по большей части есть звездная , что подтверждается их быстрым и эффективным обновлением, чтобы подавить растущую угрозу.
На вас повлиял недостаток безопасности Apple? Или обновление пришло достаточно быстро, чтобы вы не беспокоились? Дайте нам знать ваши мысли ниже!