Содержание
Турецкий исследователь безопасности выявил серьезную ошибку в macOS High Sierra. Уязвимость позволяет злоумышленнику получить доступ к компьютеру без пароля, а также доступ к мощным правам администратора. Apple выпустила патч для исправления уязвимости, затрагивающей почти все системы MacOS High Sierra.
Однако непатентованные системы остаются небезопасными …
Что такое ошибка?
Недостаток был предложен турецким разработчиком Леми Орханом Эрганом. Это позволило любому получить полные права администратора на машине MacOS High Sierra, просто введя «root» в качестве имени пользователя в диалоговом окне аутентификации. Затем, оставив поле пароля пустым и дважды нажав кнопку «Разблокировать», предоставляется полный административный доступ.
Вы можете получить к нему доступ через Системные настройки> Пользователи Группы> Нажмите на замок, чтобы внести изменения. Затем используйте «root» без пароля. И попробуйте это несколько раз. Результат невероятен! pic.twitter.com/m11qrEvECs
— Леми Орхан Эргин (@lemiorhan) 28 ноября 2017 г.
Теоретически, до патча, если вы оставите свой Mac без присмотра, кто-то может легко получить доступ и разрушить вашу машину. Например, они могут установить вредоносное ПО
, захватить пароли
используя Keychain Access
, удалить или испортить свой Apple ID и многое другое.
Но Apple исправила проблему, верно?
Когда я написал эту статью, Apple выпустила обновление для системы безопасности, чтобы исправить проблему. В заявлении об обновлении содержимого безопасности Apple говорится: «При проверке учетных данных произошла логическая ошибка. Это было решено с помощью улучшенной проверки учетных данных ».
Исправление уже доступно в Mac App Store. Кроме того, обновление будет автоматически применяться для компьютеров Mac, работающих под управлением High Sierra 10.13.1, со среды 29 ноября. Apple расширила ситуацию следующим заявлением:
«Безопасность является главным приоритетом для каждого продукта Apple, и, к сожалению, мы столкнулись с этим выпуском macOS.
«Когда наши специалисты по безопасности узнали об этой проблеме во вторник днем, мы сразу же начали работу над обновлением, которое закрывает дыру в безопасности. Этим утром, начиная с 8:00, обновление доступно для загрузки, а начиная с сегодняшнего дня оно будет автоматически установлено на все системы, на которых установлена последняя версия (10.13.1) macOS High Sierra.
«Мы очень сожалеем об этой ошибке и приносим свои извинения всем пользователям Mac, как за то, что они выпустили эту уязвимость, так и за беспокойство, которое она вызвала. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить повторение этого ».
Но они уже знали об этом?
К сожалению для Apple, эта проблема уже всплыла — но не получила никаких действий. Участник форума поддержки Apple опубликовал точные сведения об ошибке более двух недель назад. Исходная запись и ответы, похоже, рассматривают основную ошибку как потенциальную функцию устранения неполадок, а не как критическую угрозу безопасности.
Что мне теперь делать?
Ну, первое, что нужно сделать, это проверить наличие обновлений системы. Apple была настроена на автоматическое обновление патчей в течение последних 24 часов. Если автоматическое обновление не появилось, вы должны зайти в Mac App Store и найти его там. Кроме того, нажмите на эту ссылку.
Как только обновление загрузится, установите сразу.
Это не работает
Если по какой-либо причине обновление не будет установлено, сначала выключите и снова включите систему, а затем повторите попытку. Apple автоматизировала процесс.
В противном случае выполните следующие действия, чтобы обезопасить свою систему:
- Откройте Spotlight, найдите Утилита каталогов, выберите соответствующую опцию
- Нажмите на замок, чтобы внести изменения; введите имя пользователя и пароль для учетной записи администратора
- Голова к Меню> Редактировать
- Выбрать Включить Root User; создать пароль и подтвердить
Это, однако, пробел. Пожалуйста, попробуйте установить официальное обновление.
Глаза на источник
Когда Apple исправляет ошибку, глаза поворачиваются к Леми Орхану Эргану. Самозваный «мастер программного обеспечения» подвергается критике за несоблюдение принципов ответственного раскрытия информации
, Ответственное раскрытие просит исследователей в области безопасности информировать компании об угрозах безопасности, чтобы дать время исправить ошибку. После того, как ошибка устранена, исследователь может представить свои выводы общественности.
ЭТО НЕ ОТВЕТСТВЕННОЕ РАСКРЫТИЕ. Это крайне безответственно, особенно для уязвимости такого масштаба. У Apple отличная система раскрытия информации, и их команда исключительно отзывчива. ПОЖАЛУЙСТА, не делай таких вещей. https://t.co/E6iOX5A43C
— Джонни Рождество (@ J0hnnyXm4s) 28 ноября 2017 г.
Конечно, эта система не всегда работает так, как задумано. Компании не отвечают, и исследователи в области безопасности становятся нетерпеливыми. В этих случаях создание публичной проблемы вынуждает руку компании заставлять их устранять угрозу безопасности.
Получив значительное количество критики, Эрган опубликовал ответ на Medium. Он объясняет, что он «не является ни хакером, ни специалистом по безопасности», продолжая: «Я сосредоточен исключительно на методах безопасного кодирования при программировании, но никогда не могу назвать себя специалистом по безопасности».
Уважаемый @AppleSupport, мы заметили * ОГРОМНУЮ проблему безопасности в MacOS High Sierra. Любой может войти в систему как «root» с пустым паролем после нажатия на кнопку входа в систему несколько раз. Вы знаете об этом @Apple?
— Леми Орхан Эргин (@lemiorhan) 28 ноября 2017 г.
Честно говоря, ошибка обсуждалась на форуме поддержки Apple. Кроме того, Эрган утверждает, что его коллеги по платежной фирме Iyzico раскрыли угрозу Apple 23 ноября, но так и не получили ответа.
Глаза на шаре
От источника к компании. Apple позволил этому проскользнуть через сеть? Одним словом, да: особенно если они знали об ошибке, как утверждает Эрган. К сожалению, мы не знаем правды, поэтому не можем дать точную оценку ситуации.
Даже после второго принудительного обновления за год (пока только второго принудительного обновления безопасности), Apple не должна волноваться. Количество вредоносных программ для MacOS и iOS растет
Но Windows и Android остаются главными целями
, Кроме того, у Apple по большей части звездный рекорд безопасности
, что подтверждается их быстрым и эффективным обновлением, чтобы подавить растущую угрозу.
На вас повлиял недостаток безопасности Apple? Или обновление пришло достаточно быстро, чтобы вы не беспокоились? Дайте нам знать ваши мысли ниже!
