Hirdetés

Egy török ​​biztonsági kutató felfedte a MacOS High Sierra egyik fő hibáját. A hiba lehetővé teszi a támadók számára, hogy jelszó nélkül belépjenek a gépekbe, és hozzáférjenek a hatékony rendszergazdai jogokhoz. Az Apple javítást adott ki a szinte az összes macOS High Sierra rendszert érintő biztonsági rés kiküszöbölésére.

A nem feltöltött rendszerek azonban továbbra is bizonytalanok ...

Mi a hiba?

A hibát a török ​​fejlesztő, Lemi Orhan Ergan törölte. Ez lehetővé tette bárki számára, hogy teljes adminisztrációs jogot szerezzen a macOS High Sierra gépen, ha egyszerűen beírja a „root” -ot felhasználónévként a hitelesítési párbeszédpanelen. Ezután, ha a jelszómezőt üresen hagyja, és kétszer kattint az „Unlock” gombra, teljes adminisztrációs hozzáférést kap.

Ezt a Rendszerbeállítások> Felhasználók és csoportok menüpont alatt érheti el. A változtatásokhoz kattintson a zárra. Ezután használja a "root" felhasználót jelszó nélkül. És próbáld ki többször. Hihetetlen az eredmény! pic.twitter.com/m11qrEvECs

- Lemi Orhan Ergin (@lemiorhan) 2017. november 28

instagram viewer

Elméletileg, ha a javítás előtt elhagyná a Mac-ot, valaki könnyen hozzáférhet és megsemmisítheti a számítógépet. Például lehet rosszindulatú programok telepítése 5 egyszerű módszer a Mac megfertőzésére rosszindulatú programokkalA rosszindulatú program határozottan befolyásolhatja a Mac-eszközöket! Kerülje el ezeket a hibákat, különben megfertőződik a Mac. Olvass tovább , elfog jelszavak 5 egyszerű módszer a Mac megfertőzésére rosszindulatú programokkalA rosszindulatú program határozottan befolyásolhatja a Mac-eszközöket! Kerülje el ezeket a hibákat, különben megfertőződik a Mac. Olvass tovább használva Kulcstartó hozzáférés Használjon iCloud kulcstartót a jelszavak szinkronizálására Mac és iOS rendszereken?Ha elsősorban az Apple termékeket használja, akkor miért nem használja a vállalat saját jelszókezelőjét teljesen ingyenesen? Olvass tovább , törölheti vagy tönkreteheti az Apple ID-jét és így tovább.

De az Apple megoldotta a problémát, igaz?

A cikk írása közben az Apple kiadta a biztonsági frissítést, hogy javítsa a problémát. Az Apple biztonsági tartalmának frissítési nyilatkozata mondja „Logikai hiba lépett fel a hitelesítő adatok érvényesítése során. Erre a jobb hitelesítő adatok érvényesítésével került sor. ”

A javítás már elérhető a Mac App Store-ban. A frissítés emellett 29. szerdától automatikusan alkalmazandó a Mac Sierra 10.13.1 rendszert futtató Mac számítógépekre isth November. Az Apple a következő nyilatkozattal bővítette a helyzetet:

„A biztonság minden Apple termék elsődleges prioritása, és sajnálatos módon megbotlottunk ezzel a macOS kiadással.

„Amikor biztonsági mérnökeink kedd délután tudomására juttak a kérdésről, azonnal elkezdtük a frissítést, amely bezárja a biztonsági rést. Ma reggel 8-tól kezdve a frissítés letölthető, és ma később kezdődik, és automatikusan telepítésre kerül a MacOS High Sierra legújabb verzióját (10.13.1) futtató összes rendszerre.

„Nagyon sajnáljuk ezt a hibát, és elnézést kérünk minden Mac-felhasználótól, mind a biztonsági rés megszüntetése, mind az általa okozott aggodalom miatt. Ügyfeleink jobbat érdemelnek. Fejlesztési folyamatainkat ellenőrizzük, hogy elkerüljük ennek megismétlődését. ”

De már tudtak róla?

Az Apple számára sajnos ez a kérdés már felbukkanott - de nem kapott intézkedést. Az Apple támogatási fórumának tagja több mint két héttel ezelőtt közzétette a hiba pontos részleteit. Az eredeti üzenet és a válaszok úgy tűnik, hogy a fő hibát potenciális hibaelhárítási funkciónak tekintik, nem pedig kritikus biztonsági fenyegetésként.

Most mit csináljak?

Nos, az első lépés a rendszerfrissítés ellenőrzése. Az Apple úgy lett beállítva, hogy az elmúlt 24 órában valamikor elindítsa az automatikus javításfrissítést. Ha az automatikus frissítés még nem jelent meg, akkor lépjen a Mac App Store-ba, és keresse meg a frissítést ott. Egy másik változat szerint kattintson erre a linkre.

Az Apple javítások A MacOS fő biztonsági problémája: Ellenőrizze a frissítéseket. Az Apple biztonsági hibája

A frissítés letöltése után azonnal telepítse.

Nem működik

Ha valamilyen okból a frissítés nem kerül telepítésre, először kapcsolja ki és be a rendszert, majd próbálja újra. Az Apple automatizálta a folyamatot.

Ellenkező esetben hajtsa végre a következő lépéseket a rendszer időközben történő biztosításához:

  1. Nyissa meg a Spotlight-ot, keressen Directory Utility, válassza ki a megfelelő lehetőséget
  2. Kattintson a zárra a változtatások végrehajtásához; írja be felhasználónevét és jelszavát az adminisztrátori fiókhoz
  3. Menj oda Menü> Szerkesztés
  4. választ Root User engedélyezése; hozzon létre egy jelszót és ellenőrizze

Ez azonban egy akadály. Kérjük, próbálja meg telepíteni a hivatalos frissítést.

Szemek a forráson

Amint az Apple javítja a hibát, a szem Lemi Orhan Ergan felé fordul. Az önmagában leírt „szoftver-kézműves” kritikát kap nem tartja be a felelősségteljes közzétételi irányelveket Teljes vagy felelősségteljes közzététel: A biztonsági rések ismertetésének módjaA népszerű szoftvercsomagok biztonsági réseit folyamatosan fedezik fel, de hogyan számolnak be azokról a fejlesztőknek, és hogyan tudnak a hackerek megismerni azokat a biztonsági réseket, amelyeket ki tudnak használni? Olvass tovább . A felelősségteljes nyilvánosságra hozatal arra kéri a biztonsági kutatókat, hogy tájékoztassák a vállalatokat a biztonsági fenyegetésekről, hogy időbe tegyék a hibát. Miután a hibát kijavították, a kutatónak világos, hogy eredményeit bemutatja a nyilvánosság számára.

EZ NEM FELELŐS FELTÉTEL. Ez rendkívül felelőtlen, különösen ilyen mértékű sebezhetőség miatt. Az Apple kiváló közzétételi rendszerrel rendelkezik, és csapatuk rendkívül érzékeny. KÉRJÜK ne csinálj ilyet. https://t.co/E6iOX5A43C

- Johnny Xmas (@ J0hnnyXm4s) 2017. november 28

Természetesen ez a rendszer nem mindig működik megfelelően. A vállalatok nem reagálnak, és a biztonsági kutatók türelmetlenné válnak. Ezekben az esetekben a nyilvános kiadás létrehozása a vállalat kezét kényszeríti rá, és arra kényszeríti őket, hogy orvosolják a biztonsági fenyegetést.

Miután jelentős mennyiségű kritikát kapott, Ergan ripostet közzétett a Medium-on. Elmagyarázza, hogy "sem hackerek, sem biztonsági szakemberek". Folytatva: "A programozás során kizárólag a biztonságos kódolási gyakorlatra összpontosítom, de sosem hívhatom magam biztonsági szakembernek."

kedves @AppleSupport, * hatalmas * biztonsági problémát észleltünk a MacOS High Sierra-ban. Bárki beléphet "gyökérként" üres jelszóval, miután többször kattintott a bejelentkezés gombra. Tudod róla @Alma?

- Lemi Orhan Ergin (@lemiorhan) 2017. november 28

Az igazságosság szempontjából a hibát az Apple támogatási fórumán tárgyalták. Ezenkívül Ergan azt állítja, hogy az Iyzico fizetési vállalkozás kollégái 23-án nyilvánosságra hozták az Apple fenyegetésétrd November - de soha nem kapott választ.

Szeme a labdán

A forrástól a cégig. Apple hagyta, hogy ez átcsúszjon a hálón? Egyszóval: igen: különösen, ha tudtak volna a hibáról, amint Ergan állítja. Sajnos nem tudjuk az igazságot, így nem tudunk alaposan értékelni a helyzetet.

Az Applenek sem kellene aggódnia, miután szenvedett egy év alatt kényszerített frissítésüknek (még mindig csak a második kényszerített biztonsági frissítésüknek). A macOS és iOS rosszindulatú programok száma növekszik Az Apple által célzott rosszindulatú programok növekednek - Íme, mit kell figyelnie 2016-banAz Apple hardvere már nem biztonságos menedék a hackerek, rosszindulatú programok, ransomware és más számítógépes fenyegetések ellen. 2016 első felében bebizonyosodik, hogy a megfelelő óvintézkedések nélkül készülékei kockázatok lehetnek ... Olvass tovább , de a Windows és a Az Android továbbra is az elsődleges cél Mi a legbiztonságosabb mobil operációs rendszer?A Legbiztonságosabb mobil operációs rendszer címért küzdve: Android, BlackBerry, Ubuntu, Windows Phone és iOS. Melyik operációs rendszer a legmegfelelőbb az online támadások ellen? Olvass tovább . Ezen felül az Apple rendelkezik csillagbiztonsági nyilvántartás nagyrészt Az Ultimate Mac biztonsági útmutató: 20 módszer, hogy megvédje magátNe légy áldozat! Biztosítsa ma Mac biztonságát a kimerítő High Sierra biztonsági útmutatónkkal. Olvass tovább , amint azt a gyors és hatékony frissítés is bevezette, hogy elfojtsák a növekvő fenyegetést.

Érinti az Apple biztonsági hibája? Vagy a frissítés elég gyorsan megérkezett ahhoz, hogy ne aggódjon? Az alábbiakban ossza meg velünk gondolatait!

Gavin a MUO vezető írója. Ezenkívül a MakeUseOf kripto-központú testvére webhelyének, a Blocks Decoded szerkesztője és SEO igazgatója. Van egy BA (Hons) kortárs írása digitális művészeti gyakorlatokkal, amelyeket Devon dombjaiból ölelnek fel, valamint több mint egy évtizedes szakmai tapasztalattal rendelkezik. Nagyon sok teát fogyaszt.