Mark Lucas
0 
3937
41
Turecký výzkumný pracovník v oblasti bezpečnosti odhalil hlavní chybu v MacOS High Sierra. Tato chyba umožňuje útočníkovi získat vstup do počítače bez hesla - stejně jako přístup k výkonným administrátorským právům. Společnost Apple vydala opravu, která opravuje chybu zabezpečení ovlivňující téměř všechny systémy MacOS High Sierra.
Nepřipojené systémy však zůstávají nezabezpečené…
Co je chyba?
Tento nedostatek překonal turecký vývojář Lemi Orhan Ergan. Umožnilo komukoli získat plná administrátorská práva k počítači MacOS High Sierra jednoduše zadáním “vykořenit” jako uživatelské jméno v dialogovém okně ověřování. Poté ponechte pole hesla prázdné a klikněte na “Odemknout” tlačítko dvakrát, je povolen plný administrativní přístup.
Můžete k němu přistupovat prostřednictvím systémových předvoleb> Uživatelé a skupiny> Klepnutím na zámek provedete změny. Pak použijte „root“ bez hesla. A zkuste to několikrát. Výsledek je neuvěřitelný! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28. listopadu 2017
Teoreticky, před opravou, kdybyste nechali váš Mac bez dozoru, někdo mohl snadno získat přístup a zničit váš počítač. Mohou například nainstalovat malware 5 snadných způsobů infikování vašeho Mac malwarem 5 jednoduchých způsobů infikování vašeho Mac malwarem Můžete si myslet, že je dost obtížné infikovat váš Mac malwarem, ale vždy existují výjimky. Zde je pět způsobů, jak váš počítač znečistit. , zachycení hesel 5 snadných způsobů infikování vašeho Macu malwarem 5 jednoduchých způsobů infikování vašeho Macu malwarem Možná si myslíte, že je dost obtížné infikovat váš Mac malwarem, ale vždy existují výjimky. Zde je pět způsobů, jak váš počítač znečistit. používání přístupu ke klíčům Pokud používáte synchronizaci hesel iCloud Keychain na počítačích Mac a iOS? Měli byste použít klíčenku iCloud pro synchronizaci hesel v počítačích Mac a iOS? Pokud primárně používáte produkty Apple, proč nepoužívat vlastní správce hesel společnosti zcela zdarma? , smažte nebo zničte své Apple ID a další.
Ale Apple problém vyřešil, správně?
Když jsem napsal tento článek, Apple vydal aktualizaci zabezpečení, aby problém vyřešil. Prohlášení o aktualizaci obsahu zabezpečení Apple říká “Při ověřování pověření existovala logická chyba. To bylo vyřešeno vylepšeným ověřením pověření.”
Oprava je již k dispozici v obchodě Mac App Store. Aktualizace se také automaticky použije na počítačích Mac se systémem High Sierra 10.13.1 od středy 29tis Listopad. Apple rozšířil situaci o následujícím prohlášení:
“Zabezpečení je nejvyšší prioritou každého produktu Apple a bohužel jsme s tímto vydáním makra narazili.
“Když se naši bezpečnostní technici dozvěděli o problému v úterý odpoledne, okamžitě jsme začali pracovat na aktualizaci, která uzavírá bezpečnostní díru. Dnes ráno, od 8:00, je aktualizace k dispozici ke stažení a od dnešního dne bude automaticky nainstalována na všech systémech s nejnovější verzí (10.13.1) macOS High Sierra.
“Velice litujeme této chyby a omlouváme se všem uživatelům Mac, a to jak za uvolnění této chyby zabezpečení, tak za obavy, které způsobila. Naši zákazníci si zaslouží lépe. Auditujeme naše vývojové procesy, abychom zabránili tomu, aby se to opakovalo.”
Ale o tom už věděli?
Bohužel pro Apple se tento problém již objevil - ale nedostal žádnou akci. Člen fóra podpory společnosti Apple zveřejnil přesné podrobnosti o chybě před více než dvěma týdny. Zdá se, že původní příspěvek a odpovědi považují hlavní chybu spíše za potenciální funkci odstraňování problémů než za kritickou bezpečnostní hrozbu.
Co teď dělám?
První věc, kterou musíte udělat, je zkontrolovat aktualizaci systému. Apple byl nastaven tak, aby zaváděl automatickou aktualizaci záplat v určitém okamžiku za posledních 24 hodin. Pokud se automatická aktualizace neobjevila, měli byste zamířit do Mac App Store a vyhledat aktualizaci tam. Nebo klikněte na tento odkaz.
Po stažení aktualizace okamžitě nainstalujte.
Nefunguje to
Pokud se aktualizace z nějakého důvodu nenainstaluje, vypněte a znovu zapněte systém a zkuste to znovu. Apple tento proces automatizoval.
V opačném případě mezitím zabezpečte svůj systém takto:
- Otevřete Spotlight, hledejte Nástroj Directory, vyberte odpovídající možnost
- Klepnutím na zámek provedete změny; zadejte své uživatelské jméno a heslo pro administrativní účet
- Vydejte se Nabídka> Upravit
- Vybrat Povolit uživatele root; vytvořit heslo a ověřit
To je však mezera. Pokuste se nainstalovat oficiální aktualizaci.
Oči na zdroji
Když Apple opraví chybu, oči se obrátí k Lemi Orhan Ergan. Vlastní popis “softwarový řemeslník” je kritizován tím, že nedodržuje zodpovědné pokyny pro zveřejňování Úplné nebo odpovědné zveřejnění: Jak jsou zveřejněny bezpečnostní chyby Úplné nebo odpovědné zveřejnění: Jak jsou zveřejněny bezpečnostní chyby Populární softwarové balíčky jsou objeveny stále, ale jak jsou vývojářům oznamovány, a jak se hackeři dozví o zranitelnostech, které mohou zneužít? . Odpovědné zveřejnění žádá bezpečnostní výzkumníky, aby informovali společnosti o bezpečnostních hrozbách a poskytli tak čas na jejich odstranění. Poté, co je vada odstraněna, je zřejmé, že badatel prezentuje svá zjištění veřejnosti.
TOTO NENÍ ODPOVĚDNÉ ZVEŘEJNĚNÍ. To je nesmírně nezodpovědné, zejména kvůli zranitelnosti této velikosti. Apple má vynikající informační systém a jejich tým je mimořádně citlivý. PROSÍM nedělej takové věci. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28. listopadu 2017
Tento systém samozřejmě nefunguje vždy tak, jak bylo zamýšleno. Společnosti nereagují a bezpečnostní vědci se stanou netrpělivými. V těchto případech vytvoření veřejné záležitosti nutí ruku společnosti a nutí je opravit bezpečnostní hrozbu.
Poté, co Ergan obdržel značné množství kritiky, zveřejnil zprávu o Medium. Vysvětluje to “není hacker ani bezpečnostní specialista,” pokračování “Při programování se soustředím pouze na bezpečné kódování, ale nikdy se nemůžu nazývat bezpečnostním specialistou.”
Vážený uživateli @AppleSupport, v MacOS High Sierra jsme zaznamenali bezpečnostní problém * HUGE *. Kdokoli se může přihlásit jako „root“ s prázdným heslem po několika kliknutí na tlačítko přihlášení. Jste si toho vědomi @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28. listopadu 2017
Ve vší spravedlnosti byla chyba diskutována na fóru podpory Apple. Ergan dále tvrdí, že jeho kolegové v platební firmě Iyzico zveřejnili hrozbu pro Apple 23. květnard Listopad - ale nikdy nedostal odpověď.
Oči na plese
Od zdroje ke společnosti. Nechal Apple nechat tenhle vyklouznout přes síť? Jedním slovem ano: zvláště pokud si byli vědomi chyby, jak tvrdí Ergan. Bohužel neznáme pravdu, takže nemůžeme důkladně posoudit situaci.
I poté, co utrpěl jejich druhou nucenou aktualizaci za rok (stále jen jejich druhá nucená aktualizace zabezpečení), neměl by se Apple bát. Případy škodlivého softwaru pro systémy MacOS a iOS rostou. Zvýšení malwaru zaměřeného na Apple - Zde je co si dát pozor v roce 2016 Zvýšení malwaru pro Apple - zde je to, co je třeba hledat v roce 2016 Hardware Apple již není bezpečným přístavem hackerů, malwaru, ransomwaru a další počítačové hrozby. První polovina roku 2016 dokazuje, že bez správných opatření se vaše zařízení mohou stát riziky…, ale Windows a Android zůstávají hlavním cílem Co je nejbezpečnější mobilní operační systém? Co je nejbezpečnější mobilní operační systém? Bojujeme o titul nejbezpečnějšího mobilního OS, máme: Android, BlackBerry, Ubuntu, Windows Phone a iOS. Který operační systém nejlépe bojuje proti online útokům? . Kromě toho má Apple z větší části hvězdný bezpečnostní záznam The Ultimate Mac Security Guide: 20 způsobů, jak se chránit The Ultimate Mac Security Guide: 20 způsobů, jak se chránit Nebuď obětí! Zajistěte si svůj Mac ještě dnes pomocí našeho vyčerpávajícího průvodce zabezpečením High Sierra. , o čemž svědčí jejich rychlá a účinná aktualizace, aby se potlačila narůstající hrozba.
Byli jste zasaženi bezpečnostní chybou Apple? Nebo vám aktualizace dorazila dostatečně rychle, aby vás neznepokojovala? Sdělte nám své myšlenky níže!