Рекламное объявление

Турецкий исследователь безопасности выявил серьезную ошибку в macOS High Sierra. Уязвимость позволяет злоумышленнику получить доступ к компьютеру без пароля, а также доступ к мощным правам администратора. Apple выпустила патч для исправления уязвимости, затрагивающей почти все системы MacOS High Sierra.

Однако непатентованные системы остаются небезопасными ...

Что такое ошибка?

Недостаток был предложен турецким разработчиком Леми Орханом Эрганом. Это позволило любому получить полные права администратора на компьютере MacOS High Sierra, просто введя «root» в качестве имени пользователя в диалоговом окне аутентификации. Затем, оставив поле пароля пустым и дважды нажав кнопку «Разблокировать», предоставляется полный административный доступ.

Вы можете получить к нему доступ через Системные настройки> Пользователи и группы> Нажмите на замок, чтобы внести изменения. Затем используйте «root» без пароля. И попробуйте это несколько раз. Результат невероятен! pic.twitter.com/m11qrEvECs

- Леми Орхан Эргин (@lemiorhan) 28 ноября 2017 г.

instagram viewer

Теоретически, до патча, если вы оставите свой Mac без присмотра, кто-то может легко получить доступ и сломать ваш компьютер. Например, они могут установить вредоносное ПО 5 простых способов заразить ваш Mac вредоносным ПОВредоносные программы могут определенно повлиять на устройства Mac! Избегайте этих ошибок, иначе вы заразитесь своим Mac. Подробнее , захватывать пароли 5 простых способов заразить ваш Mac вредоносным ПОВредоносные программы могут определенно повлиять на устройства Mac! Избегайте этих ошибок, иначе вы заразитесь своим Mac. Подробнее с помощью Брелок Доступ Следует ли использовать связку ключей iCloud для синхронизации паролей на Mac и iOS?Если вы в основном используете продукты Apple, почему бы не использовать собственный менеджер паролей компании совершенно бесплатно? Подробнее , удалить или испортить свой Apple ID и многое другое.

Но Apple исправила проблему, верно?

Когда я написал эту статью, Apple выпустила обновление для системы безопасности, чтобы исправить проблему. Заявление об обновлении контента безопасности Apple говорит «При проверке учетных данных существовала логическая ошибка. Это было решено с помощью улучшенной проверки учетных данных ».

Исправление уже доступно в Mac App Store. Кроме того, обновление будет автоматически применяться к Mac, работающим под управлением High Sierra 10.13.1 со среды 29го Ноябрь. Apple расширила ситуацию следующим заявлением:

«Безопасность является главным приоритетом для каждого продукта Apple, и, к сожалению, мы столкнулись с этим выпуском macOS.

«Когда наши специалисты по безопасности узнали о проблеме во вторник днем, мы сразу же начали работу над обновлением, которое закрывает дыру в безопасности. Этим утром, начиная с 8 утра, обновление доступно для загрузки, а начиная с сегодняшнего дня оно будет автоматически установлено на все системы, работающие с последней версией (10.13.1) macOS High Sierra.

«Мы очень сожалеем об этой ошибке и приносим свои извинения всем пользователям Mac, как за то, что они выпустили эту уязвимость, так и за беспокойство, которое она вызвала. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить повторение этого ».

Но они уже знали об этом?

К сожалению для Apple, эта проблема уже всплыла - но не получила никаких действий. Один из участников форума поддержки Apple опубликовал точные сведения об ошибке более двух недель назад. Исходная запись и ответы, похоже, рассматривают основную ошибку как потенциальную функцию устранения неполадок, а не как критическую угрозу безопасности.

Что мне теперь делать?

Ну, первое, что нужно сделать, это проверить наличие обновлений системы. Apple была настроена на автоматическое обновление патчей в течение последних 24 часов. Если автоматическое обновление не появилось, перейдите в Mac App Store и найдите его там. С другой стороны, нажмите на эту ссылку.

Apple исправляет серьезную проблему безопасности macOS: проверьте обновления сейчас

Как только обновление загрузится, установите сразу.

Это не работает

Если по какой-либо причине обновление не будет установлено, сначала выключите и включите систему, а затем повторите попытку. Apple автоматизировала процесс.

В противном случае выполните следующие действия, чтобы обезопасить свою систему:

  1. Откройте Spotlight, найдите Утилита каталоговвыберите соответствующую опцию
  2. Нажмите на замок, чтобы внести изменения; введите имя пользователя и пароль для учетной записи администратора
  3. Голова к Меню> Изменить
  4. Выбрать Включить Root User; создать пароль и подтвердить

Это, однако, пробел. Пожалуйста, попробуйте установить официальное обновление.

Глаза на источник

Когда Apple исправляет ошибку, глаза поворачиваются к Леми Орхану Эргану. Самопровозглашенный «мастер программного обеспечения» подвергается критике за несоблюдение принципов ответственного раскрытия Полное или ответственное раскрытие информации: как раскрываются уязвимости безопасностиУязвимости безопасности в популярных пакетах программного обеспечения обнаруживаются постоянно, но как они сообщаются разработчикам и как хакеры узнают об уязвимостях, которые они могут использовать? Подробнее . Ответственное раскрытие просит исследователей безопасности информировать компании об угрозах безопасности, чтобы дать время исправить ошибку После того, как ошибка устранена, исследователь может представить свои результаты общественности.

ЭТО НЕ ОТВЕТСТВЕННОЕ РАСКРЫТИЕ. Это крайне безответственно, особенно для уязвимости такого масштаба. У Apple отличная система раскрытия информации, и их команда исключительно отзывчива. ПОЖАЛУЙСТА, не делай таких вещей. https://t.co/E6iOX5A43C

- Джонни Рождество (@ J0hnnyXm4s) 28 ноября 2017 г.

Конечно, эта система не всегда работает так, как задумано. Компании не отвечают, и исследователи в области безопасности становятся нетерпеливыми. В этих случаях создание публичной проблемы вынуждает руку компании заставлять их устранять угрозу безопасности.

Получив значительное количество критики, Эрган опубликовал ответ на Medium. Он объясняет, что он «не является ни хакером, ни специалистом по безопасности», продолжая: «Я сосредоточен исключительно на методах безопасного кодирования при программировании, но никогда не могу назвать себя специалистом по безопасности».

дорогая @AppleSupportмы заметили * ОГРОМНУЮ * проблему безопасности на MacOS High Sierra. Любой может войти в систему как «root» с пустым паролем после нажатия на кнопку входа в систему несколько раз. Вы знаете об этом? @Яблоко?

- Леми Орхан Эргин (@lemiorhan) 28 ноября 2017 г.

Честно говоря, ошибка обсуждалась на форуме поддержки Apple. Кроме того, Эрган утверждает, что его коллеги из платежной фирмы Iyzico раскрыли угрозу для Apple 23й Ноябрь - но так и не получил ответа.

Глаза на шаре

От источника к компании. Apple позволил этому проскользнуть через сеть? Одним словом, да: особенно если они знали об ошибке, как утверждает Эрган. К сожалению, мы не знаем правды, поэтому не можем дать точную оценку ситуации.

Даже после второго принудительного обновления за год (пока только второго принудительного обновления безопасности), Apple не должна волноваться. Количество вредоносных программ для MacOS и iOS растет Количество вредоносных программ, нацеленных на Apple, увеличивается - вот что стоит посмотреть в 2016 годуОборудование Apple больше не является безопасным убежищем от хакеров, вредоносных программ, вымогателей и других киберугроз. Первая половина 2016 года доказывает, что без правильных мер предосторожности ваши устройства могут стать рисками ... Подробнее , но Windows и Android остается главной целью Какая самая безопасная мобильная операционная система?Сражаясь за звание Самой безопасной мобильной ОС, мы имеем: Android, BlackBerry, Ubuntu, Windows Phone и iOS. Какая операционная система лучше противостоит сетевым атакам? Подробнее . Кроме того, Apple имеет звездная запись безопасности по большей части Руководство по максимальной безопасности Mac: 20 способов защитить себяНе будь жертвой! Защитите свой Mac сегодня с нашим исчерпывающим руководством по безопасности High Sierra. Подробнее , что подтверждается их быстрым и эффективным обновлением, чтобы подавить растущую угрозу.

Вы были затронуты недостатком безопасности Apple? Или обновление пришло достаточно быстро, чтобы вы не беспокоились? Дайте нам знать ваши мысли ниже!

Гэвин - старший писатель MUO. Он также является редактором и SEO-менеджером сайта крипто-ориентированных сайтов MakeUseOf, Blocks Decoded. Он имеет степень бакалавра (с отличием) современного письма и практики цифрового искусства, разграбленные с холмов Девона, а также более чем десятилетний профессиональный опыт написания. Он наслаждается обильным количеством чая.