Strona główna Bezpieczeństwo Apple łata Główny problem bezpieczeństwa systemu macOS Sprawdź swoje aktualizacje teraz

Apple łata Główny problem bezpieczeństwa systemu macOS Sprawdź swoje aktualizacje teraz

  • Michael Fisher
  • 0
  • 4093
  • 385
Reklama

Turecki badacz bezpieczeństwa odkrył poważny błąd w macOS High Sierra. Wada pozwala atakującemu uzyskać dostęp do komputera bez hasła - a także dostęp do potężnych uprawnień administratora. Firma Apple wydała łatkę, aby naprawić usterkę, która ma wpływ na prawie wszystkie systemy macOS High Sierra.

Niezałatowane systemy pozostają jednak niepewne…

Jaki jest błąd?

Błąd został ujawniony przez tureckiego programistę Lemi Orhan Ergan. Umożliwiło to każdemu uzyskanie pełnych uprawnień administracyjnych do komputera MacOS High Sierra po prostu przez wpisanie “korzeń” jako nazwa użytkownika w oknie dialogowym uwierzytelniania. Następnie pozostaw pole hasła puste i kliknij “Odblokować” dwa razy przycisk, przyznany jest pełny dostęp administracyjny.

Możesz uzyskać do niego dostęp w Preferencjach systemowych> Użytkownicy i grupy> Kliknij blokadę, aby wprowadzić zmiany. Następnie użyj „root” bez hasła. I spróbuj kilka razy. Wynik jest niewiarygodny! pic.twitter.com/m11qrEvECs

- Lemi Orhan Ergin (@lemiorhan) 28 listopada 2017 r

Teoretycznie, przed łatką, jeśli zostawiłeś komputer Mac bez opieki, ktoś może łatwo uzyskać dostęp i zniszczyć komputer. Na przykład mogą zainstalować złośliwe oprogramowanie. 5 prostych sposobów na zainfekowanie komputera Mac złośliwym oprogramowaniem. 5 łatwych sposobów na zainfekowanie komputera Mac złośliwym oprogramowaniem. Może się wydawać, że zainfekowanie komputera Mac złośliwym oprogramowaniem jest dość trudne, ale zawsze są wyjątki. Oto pięć sposobów na zabrudzenie komputera. , przechwytywanie haseł 5 łatwych sposobów na zainfekowanie komputera Mac złośliwym oprogramowaniem 5 łatwych sposobów na zainfekowanie komputera Mac złośliwym oprogramowaniem Może się wydawać, że zainfekowanie komputera Mac złośliwym oprogramowaniem jest dość trudne, ale zawsze są wyjątki. Oto pięć sposobów na zabrudzenie komputera. Korzystanie z dostępu do pęku kluczy Czy należy używać pęku kluczy iCloud do synchronizacji haseł na komputerach Mac i iOS? Czy należy używać pęku kluczy iCloud do synchronizacji haseł na komputerach Mac i iOS? Jeśli korzystasz głównie z produktów Apple, dlaczego nie skorzystać z własnego menedżera haseł firmy całkowicie bezpłatnie? , usuń lub zniszcz swój identyfikator Apple ID i nie tylko.

Ale Apple naprawiło problem, prawda?

Gdy napisałem ten artykuł, Apple wydało aktualizację zabezpieczeń, aby załatać problem. Oświadczenie o aktualizacji treści bezpieczeństwa Apple mówi “Wystąpił błąd logiczny podczas sprawdzania poprawności poświadczeń. Rozwiązano ten problem, poprawiając weryfikację poświadczeń.”

Poprawka jest już dostępna w Mac App Store. Aktualizacja zostanie również automatycznie zastosowana do komputerów Mac z systemem High Sierra 10.13.1 od środy 29th Listopad. Firma Apple rozszerzyła tę sytuację o następujące oświadczenie:

“Bezpieczeństwo jest najwyższym priorytetem każdego produktu Apple i niestety natknęliśmy się na tę wersję systemu macOS.

“Kiedy nasi inżynierowie bezpieczeństwa dowiedzieli się o problemie we wtorek po południu, natychmiast rozpoczęliśmy pracę nad aktualizacją, która zamyka lukę w zabezpieczeniach. Dziś rano, od 8 rano, aktualizacja jest dostępna do pobrania, a od dziś będzie ona automatycznie instalowana na wszystkich systemach z najnowszą wersją (10.13.1) macOS High Sierra.

“Bardzo przepraszamy za ten błąd i przepraszamy wszystkich użytkowników komputerów Mac zarówno za udostępnienie tej luki, jak i za związane z nią obawy. Nasi klienci zasługują na coś lepszego. Kontrolujemy nasze procesy rozwoju, aby zapobiec powtórzeniu się tego problemu.”

Ale już o tym wiedzieli?

Niestety dla Apple ten problem już się ujawnił - ale nie otrzymał żadnego działania. Członek forum wsparcia Apple opublikował dokładne szczegóły błędu ponad dwa tygodnie temu. Oryginalny post i odpowiedzi wydają się postrzegać poważny błąd jako potencjalną funkcję rozwiązywania problemów, a nie jako krytyczne zagrożenie bezpieczeństwa.

Co mam teraz zrobić?

Cóż, pierwszą rzeczą do zrobienia jest sprawdzenie aktualizacji systemu. Firma Apple została skonfigurowana do wprowadzenia automatycznej aktualizacji łatki w pewnym momencie w ciągu ostatnich 24 godzin. Jeśli automatyczna aktualizacja nie pojawiła się, powinieneś udać się do Mac App Store i tam poszukać aktualizacji. Alternatywnie kliknij ten link.

Po pobraniu aktualizacji zainstaluj ją natychmiast.

To nie działa

Jeśli z jakiegoś powodu aktualizacja nie zostanie zainstalowana, najpierw wyłącz i włącz system, a następnie spróbuj ponownie. Apple zautomatyzowało ten proces.

W przeciwnym razie wykonaj następujące kroki, aby zabezpieczyć system w międzyczasie:

  1. Otwórz Spotlight, wyszukaj Narzędzie katalogowe, wybierz odpowiednią opcję
  2. Kliknij blokadę, aby wprowadzić zmiany; wprowadź swoją nazwę użytkownika i hasło do konta administracyjnego
  3. Zmierzać do Menu> Edytuj
  4. Wybierz Włącz użytkownika root; utwórz hasło i zweryfikuj

Jest to jednak przerwa. Spróbuj zainstalować oficjalną aktualizację.

Oczy na źródło

Gdy Apple łata błąd, oczy zwracają się na Lemi Orhan Ergan. Samo opisany “rzemieślnik oprogramowania” jest krytykowany za nieprzestrzeganie wytycznych odpowiedzialnego ujawniania Pełne lub odpowiedzialne ujawnienie: w jaki sposób ujawniane są luki w zabezpieczeniach Pełne lub odpowiedzialne ujawnianie: w jaki sposób ujawniane są luki w zabezpieczeniach Luki w zabezpieczeniach popularnych pakietów oprogramowania są cały czas wykrywane, ale w jaki sposób są zgłaszane programistom, i w jaki sposób hakerzy dowiadują się o lukach, które mogą wykorzystać? . Odpowiedzialne ujawnienie prosi badaczy bezpieczeństwa o poinformowanie firm o zagrożeniach bezpieczeństwa, aby dać czas na naprawienie usterki. Po usunięciu wady badacz może przedstawić swoje odkrycia opinii publicznej.

NIE JEST TO ODPOWIEDZIALNE UJAWNIENIE. Jest to niezwykle nieodpowiedzialne, szczególnie w przypadku wrażliwości tej wielkości. Apple ma doskonały system ujawniania informacji, a ich zespół reaguje wyjątkowo szybko. PROSZĘ nie rób takich rzeczy. https://t.co/E6iOX5A43C

- Johnny Xmas (@ J0hnnyXm4s) 28 listopada 2017 r

Oczywiście ten system nie zawsze działa zgodnie z przeznaczeniem. Firmy nie reagują, a badacze bezpieczeństwa stają się niecierpliwi. W takich przypadkach utworzenie problemu publicznego zmusza firmę do działania, zmuszając ją do usunięcia zagrożenia bezpieczeństwa.

Po otrzymaniu znacznej krytyki Ergan opublikował ripostę na Medium. Wyjaśnia, że ​​on “nie jest ani hakerem, ani specjalistą od bezpieczeństwa,” kontynuując “Podczas programowania koncentruję się wyłącznie na bezpiecznych praktykach kodowania, ale nigdy nie mogę się nazywać specjalistą ds. Bezpieczeństwa.”

Drogi @AppleSupport, zauważyliśmy * OGROMNY * problem bezpieczeństwa w MacOS High Sierra. Każdy może zalogować się jako „root” z pustym hasłem po kilkukrotnym kliknięciu przycisku logowania. Czy zdajesz sobie z tego sprawę @Apple?

- Lemi Orhan Ergin (@lemiorhan) 28 listopada 2017 r

Szczerze mówiąc, błąd został omówiony na forum wsparcia Apple. Co więcej, Ergan twierdzi, że jego koledzy z firmy płatniczej Iyzico ujawnili zagrożenie Apple w dniu 23r & D Listopad - ale nigdy nie otrzymał odpowiedzi.

Oczy na piłkę

Od źródła do firmy. Czy Apple pozwolił temu prześlizgnąć się przez sieć? Jednym słowem tak: zwłaszcza, jeśli byli świadomi błędu, jak twierdzi Ergan. Niestety nie znamy prawdy, więc nie możemy dokonać rzetelnej oceny sytuacji.

Nawet po drugiej wymuszonej aktualizacji w ciągu roku (wciąż tylko drugiej wymuszonej aktualizacji zabezpieczeń) Apple nie powinien się martwić. Liczba złośliwych programów macOS i iOS rośnie Wzrost liczby złośliwego oprogramowania ukierunkowanego na Apple - oto, na co należy zwrócić uwagę w 2016 r. Wzrost liczby złośliwego oprogramowania ukierunkowanego na Apple - tutaj, na co należy zwrócić uwagę w 2016 r. Sprzęt Apple nie jest już bezpieczną przystanią dla hakerów, złośliwego oprogramowania i oprogramowania ransomware i inne cyberzagrożenia. Pierwsza połowa 2016 r. Dowodzi, że bez odpowiednich środków ostrożności Twoje urządzenia mogą stać się zagrożeniem… ale Windows i Android pozostają głównymi celami. Jaki jest najbezpieczniejszy mobilny system operacyjny? Jaki jest najbezpieczniejszy mobilny system operacyjny? Walcząc o tytuł najbezpieczniejszego mobilnego systemu operacyjnego, mamy: Android, BlackBerry, Ubuntu, Windows Phone i iOS. Który system operacyjny najlepiej radzi sobie z atakami online? . Co więcej, Apple ma znakomity rekord bezpieczeństwa w przeważającej części The Ultimate Mac Security Guide: 20 sposobów na ochronę siebie The Ultimate Mac Security Guide: 20 sposobów na ochronę siebie Nie bądź ofiarą! Zabezpiecz swojego Maca już dziś dzięki naszemu wyczerpującemu przewodnikowi bezpieczeństwa High Sierra. , o czym świadczy ich szybka i skuteczna aktualizacja, aby stłumić rosnące zagrożenie.

Czy dotknęła Cię usterka w zabezpieczeniach Apple? A może aktualizacja dotarła na tyle szybko, że przestałeś się martwić? Daj nam znać swoje przemyślenia poniżej!




Jeszcze bez komentarzy

Jak zablokować / odblokować telefon z systemem Android za pomocą głosu za pomocą Asystenta Google
Android
Jak odzyskać komputer za pomocą urządzenia z systemem Android
Android
Jak zmienić głosy dla Asystenta Google
Android
O nowoczesnej technologii, prostej i niedrogiej.
Twój przewodnik w świecie nowoczesnych technologii. Dowiedz się, jak korzystać z technologii i gadżetów, które nas otaczają każdego dnia i dowiedz się, jak odkrywać ciekawe rzeczy w Internecie.