Ένας Τούρκος ερευνητής ασφαλείας εξέθεσε ένα σημαντικό σφάλμα στο MacOS High Sierra. Το ελάττωμα καθιστά δυνατό για έναν εισβολέα να αποκτήσει πρόσβαση σε μια μηχανή χωρίς κωδικό πρόσβασης - καθώς και πρόσβαση σε ισχυρά δικαιώματα διαχειριστή. Η Apple έχει εκδώσει μια ενημερωμένη έκδοση κώδικα για να διορθώσει την ευπάθεια που αφορά σχεδόν όλα τα συστήματα MacOS High Sierra.
Εντούτοις, τα μη ελεγχόμενα συστήματα παραμένουν ανασφάλιστα ...
Ποιο είναι το σφάλμα;
Το ελάττωμα βγήκε από την τουρκική εταιρεία ανάπτυξης Lemi Orhan Ergan. Επιτρέπει σε οποιονδήποτε να αποκτήσει πλήρη δικαιώματα διαχειριστή σε ένα MacOS High Sierra μηχάνημα απλά πληκτρολογώντας "root" ως όνομα χρήστη στο παράθυρο διαλόγου ελέγχου ταυτότητας. Στη συνέχεια, αφήνοντας το πεδίο κωδικού πρόσβασης κενό και κάνοντας δύο φορές κλικ στο κουμπί "Ξεκλείδωμα", παρέχεται πλήρης διοικητική πρόσβαση.
Μπορείτε να έχετε πρόσβαση σε αυτήν μέσω των Προτιμήσεων συστήματος> Χρήστες και ομάδες> Κάντε κλικ στο κλείδωμα για να κάνετε αλλαγές. Στη συνέχεια, χρησιμοποιήστε "root" χωρίς κωδικό πρόσβασης. Και δοκιμάστε το για αρκετές φορές. Το αποτέλεσμα είναι απίστευτο! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28 Νοεμβρίου 2017
Θεωρητικά, πριν από την ενημερωμένη έκδοση κώδικα, αν αφήσατε τον Mac χωρίς παρακολούθηση, κάποιος θα μπορούσε εύκολα να αποκτήσει πρόσβαση και να καταστρέψει το μηχάνημά σας. Για παράδειγμα, μπορεί να εγκαταστήσουν κακόβουλο λογισμικό 5 Εύκολοι τρόποι για να μολύνουν το Mac σας με κακόβουλο λογισμικό 5 Εύκολοι τρόποι για να μολύνουν το Mac σας με κακόβουλο λογισμικό Μπορεί να πιστεύετε ότι είναι πολύ δύσκολο να μολύνετε το Mac με κακόβουλο λογισμικό, αλλά υπάρχουν πάντα εξαιρέσεις. Εδώ είναι πέντε τρόποι που μπορείτε να πάρετε τον υπολογιστή σας βρώμικο. Διαβάστε περισσότερα, καταγράψτε τους κωδικούς πρόσβασης 5 Εύκολοι τρόποι για να μολύνουν το Mac σας με κακόβουλο λογισμικό 5 Εύκολοι τρόποι για να μολύνουν το Mac σας με κακόβουλο λογισμικό Ίσως είναι πολύ δύσκολο να μολύνετε το Mac με κακόβουλο λογισμικό, αλλά υπάρχουν πάντα εξαιρέσεις. Εδώ είναι πέντε τρόποι που μπορείτε να πάρετε τον υπολογιστή σας βρώμικο. Διαβάστε περισσότερα χρησιμοποιώντας το Access Keychain Πρέπει να χρησιμοποιήσετε το iCloud Keychain για να συγχρονίσετε τους κωδικούς πρόσβασης σε Mac & iOS; Πρέπει να χρησιμοποιήσετε το iCloud Keychain για να συγχρονίσετε τους κωδικούς πρόσβασης σε Mac & iOS; Εάν χρησιμοποιείτε κατά κύριο λόγο προϊόντα της Apple, γιατί να μην χρησιμοποιείτε πλήρως τον διαχειριστή κωδικών πρόσβασης της εταιρείας εντελώς δωρεάν; Διαβάστε περισσότερα, διαγράψτε ή καταστρέψτε το αναγνωριστικό της Apple σας και πολλά άλλα.
Αλλά η Apple έχει διορθώσει το πρόβλημα, σωστά;
Όπως έγραψα αυτό το άρθρο, η Apple δημοσίευσε την ενημερωμένη έκδοση ασφαλείας για να διορθώσει το πρόβλημα. Η δήλωση ενημέρωσης περιεχομένου ασφάλειας ασφαλείας της Apple αναφέρει: "Υπήρξε λογικό σφάλμα κατά την επικύρωση των διαπιστευτηρίων. Αυτό έγινε με βελτιωμένη επικύρωση διαπιστευτηρίων. "
Η ενημέρωση κώδικα είναι ήδη διαθέσιμη στο Mac App Store. Επίσης, η ενημέρωση θα εφαρμοστεί αυτόματα σε Mac που εκτελούν High Sierra 10.13.1 από την Τετάρτη 29 Νοεμβρίου. Η Apple επέκτεινε την κατάσταση με την ακόλουθη δήλωση:
"Η ασφάλεια αποτελεί κορυφαία προτεραιότητα για κάθε προϊόν της Apple και δυστυχώς σκοντάψαμε αυτή την έκδοση macOS.
"Όταν οι μηχανικοί ασφαλείας μας γνώριζαν το θέμα την Τρίτη το απόγευμα, ξεκινήσαμε αμέσως να επεξεργαζόμαστε μια ενημέρωση που κλείνει την τρύπα ασφαλείας. Το πρωί, από τις 8πμ, η ενημέρωση είναι διαθέσιμη για λήψη και ξεκινά αργότερα σήμερα, θα εγκατασταθεί αυτόματα σε όλα τα συστήματα που χρησιμοποιούν την τελευταία έκδοση (10.13.1) του MacOS High Sierra.
"Λυπούμαστε πολύ για αυτό το σφάλμα και ζητούμε συγγνώμη σε όλους τους χρήστες Mac, τόσο για την απελευθέρωσή τους με αυτήν την ευπάθεια όσο και για την ανησυχία που προκάλεσε. Οι πελάτες μας αξίζουν καλύτερα. Ελέγουμε τις αναπτυξιακές μας διαδικασίες για να αποτρέψουμε αυτό το ενδεχόμενο να ξανασυμβεί ».
Αλλά ξέρουν ήδη γι 'αυτό;
Δυστυχώς για την Apple, το ζήτημα αυτό είχε ήδη εμφανιστεί - αλλά δεν έλαβε καμία ενέργεια. Ένα μέλος του φόρουμ υποστήριξης της Apple δημοσίευσε τις ακριβείς λεπτομέρειες του σφάλματος πριν από δύο εβδομάδες. Η αρχική ανάρτηση και οι απαντήσεις φαίνονται να βλέπουν το κύριο σφάλμα ως πιθανή λειτουργία αντιμετώπισης προβλημάτων και όχι μια κρίσιμη απειλή ασφάλειας.
"Το ελάττωμα ασφαλείας είχε αρχικά αναλυθεί ως λύση για πρόβλημα σύνδεσης χρήστη στο φόρουμ υποστήριξης προγραμματιστών της Apple." Φίλε, η εκμετάλλευση βρισκόταν στα δίκτυα. Πώς να αφήσετε όλο το Twitter να προστατεύσει τους εαυτούς του από αυτό το σφάλμα θέτοντας έναν κωδικό πρόσβασης ρίζας; https://t.co/sGLJW1pSOq
- elizabeth j allen (@ej_allen) 29 Νοεμβρίου 2017
Τι κάνω τώρα?
Λοιπόν, το πρώτο πράγμα που πρέπει να κάνετε είναι να ελέγξετε για την ενημέρωση του συστήματος. Η Apple είχε ρυθμιστεί να προβάλλει την ενημέρωση της αυτόματης ενημερωμένης έκδοσης κώδικα σε κάποια στιγμή τις τελευταίες 24 ώρες. Εάν η αυτόματη ενημέρωση δεν εμφανίστηκε, θα πρέπει να κατευθυνθείτε στο Mac App Store και να αναζητήσετε την ενημέρωση εκεί. Εναλλακτικά, κάντε κλικ σε αυτόν το σύνδεσμο.
Μόλις ολοκληρωθεί η λήψη της ενημέρωσης, εγκαταστήστε αμέσως.
Δεν λειτουργεί
Εάν κάποιος λόγος η ενημέρωση δεν θα εγκατασταθεί, απενεργοποιήστε και ενεργοποιήστε πρώτα το σύστημα και, στη συνέχεια, δοκιμάστε ξανά. Η Apple έχει αυτοματοποιήσει τη διαδικασία.
Διαφορετικά, ακολουθήστε τα παρακάτω βήματα για να ασφαλίσετε το σύστημά σας εν τω μεταξύ:
- Ανοίξτε το Spotlight, αναζητήστε το βοηθητικό πρόγραμμα καταλόγου, επιλέξτε την αντίστοιχη επιλογή
- Κάντε κλικ στο κλείδωμα για να κάνετε αλλαγές. πληκτρολογήστε το όνομα χρήστη και τον κωδικό πρόσβασης για το λογαριασμό διαχειριστή
- Μεταβείτε στο Μενού> Επεξεργασία
- Επιλέξτε Ενεργοποίηση χρήστη ρίζας . δημιουργήστε έναν κωδικό πρόσβασης και επαληθεύστε
Αυτό είναι, ωστόσο, ένα κενό. Δοκιμάστε να εγκαταστήσετε την επίσημη ενημερωμένη έκδοση.
Μάτια στην πηγή
Καθώς η Apple μπαλώνει το σφάλμα, τα μάτια στρέφονται προς τον Lemi Orhan Ergan. Η αυτοπεποίθηση "τεχνίτης λογισμικού" λαμβάνει κριτική για να μην τηρήσει τις οδηγίες υπεύθυνου γνωστοποίησης Πλήρης ή υπεύθυνη αποκάλυψη: Πώς τα ευπάθειες ασφαλείας αποκαλύπτονται Πλήρης ή υπεύθυνη αποκάλυψη: Πώς τα ευπάθειες ασφαλείας αποκαλύπτονται Τα ευπάθειες ασφαλείας στα δημοφιλή πακέτα λογισμικού ανακαλύπτονται συνεχώς, αλλά πώς ανακοινώνονται στους προγραμματιστές και πώς μαθαίνουν οι hackers τα τρωτά σημεία που μπορούν να εκμεταλλευτούν; Διαβάστε περισσότερα . Η υπεύθυνη αποκάλυψη ζητά από τους ερευνητές ασφάλειας να ενημερώνουν τις εταιρείες για απειλές ασφάλειας, ώστε να δοθεί χρόνος για να διορθωθεί το ελάττωμα. Αφού καθοριστεί το ελάττωμα, ο ερευνητής είναι σαφής να παρουσιάσει τα ευρήματά του στο κοινό.
ΑΥΤΟ ΔΕΝ ΕΙΝΑΙ ΥΠΕΥΘΥΝΟΙ ΑΠΟΚΑΛΥΨΗ. Αυτό είναι εξαιρετικά ανεύθυνο, ειδικά για μια ευαισθησία αυτού του μεγέθους. Η Apple έχει ένα εξαιρετικό σύστημα αποκάλυψης και η ομάδα της είναι εξαιρετικά ευαίσθητη. ΠΑΡΑΚΑΛΩ μην κάνετε τέτοια πράγματα. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28 Νοεμβρίου 2017
Φυσικά, αυτό το σύστημα δεν λειτουργεί πάντα όπως έχει προβλεφθεί. Οι εταιρείες δεν ανταποκρίνονται και οι ερευνητές της ασφάλειας γίνονται ανυπόμονοι. Σε αυτές τις περιπτώσεις, δημιουργώντας ένα δημόσιο ζήτημα, αναγκάζει το χέρι της εταιρείας, αναγκάζοντάς τους να διορθώσουν την απειλή ασφάλειας.
Αφού έλαβε μια σημαντική κριτική, η Ergan δημοσίευσε μια αντίδραση στο Medium. Εξηγεί ότι "δεν είναι ούτε χάκερ ούτε ειδικός ασφαλείας", συνεχίζοντας "εστιάζω αποκλειστικά σε ασφαλείς πρακτικές κωδικοποίησης κατά τον προγραμματισμό, αλλά δεν μπορώ ποτέ να αποκαλώ τον εαυτό μου ειδήμονα ασφαλείας".
Αγαπητέ @AppleSupport, παρατηρήσαμε ένα ζήτημα ασφαλείας * HUGE * στο MacOS High Sierra. Οποιοσδήποτε μπορεί να συνδεθεί ως "root" με κενό κωδικό πρόσβασης, αφού κάνει κλικ στο κουμπί σύνδεσης πολλές φορές. Γνωρίζετε το @Apple;
- Lemi Orhan Ergin (@lemiorhan) 28 Νοεμβρίου 2017
Σε κάθε δικαιοσύνη, το σφάλμα συζητήθηκε στο φόρουμ υποστήριξης της Apple. Επιπλέον, ο Ergan ισχυρίζεται ότι οι συνεργάτες του στην εταιρεία πληρωμών Iyzico αποκάλυψαν την απειλή για την Apple στις 23 Νοεμβρίου - αλλά δεν έλαβαν ποτέ απάντηση.
Μάτια στη σφαίρα
Από την πηγή, στην εταιρεία. Μήπως η Apple άφησε αυτό να πέσει μέσα από το δίχτυ; Με μια λέξη, ναι: ειδικά αν γνώριζαν το σφάλμα όπως ισχυρίζεται η Ergan. Δυστυχώς, δεν γνωρίζουμε την αλήθεια, έτσι δεν μπορούμε να κάνουμε μια σταθερή εκτίμηση της κατάστασης.
Ακόμα και μετά την δεύτερη αναγκαστική ενημέρωσή τους σε ένα χρόνο (ακόμα μόνο η δεύτερη αναγκαστική ενημέρωση ασφαλείας τους), η Apple δεν πρέπει να ανησυχεί. Οι περιπτώσεις κακόβουλου λογισμικού macOS και iOS αυξάνονται Αυξήσεις κακόβουλου λογισμικού που απευθύνονται στην Apple - Εδώ τι πρέπει να προσέξουμε το 2016 Αυξάνεται η κακόβουλη χρήση κακόβουλου λογισμικού κατά της Apple - Εδώ τι να προσέξουμε το 2016 Το υλικό της Apple δεν είναι πλέον ασφαλές καταφύγιο από τους χάκερ, το κακόβουλο λογισμικό και τα ransomware, και άλλες απειλές στον κυβερνοχώρο. Το πρώτο μισό του 2016 αποδεικνύει ότι χωρίς τις σωστές προφυλάξεις, οι συσκευές σας μπορούν να γίνουν κίνδυνοι ... Διαβάστε περισσότερα, αλλά τα Windows και το Android παραμένουν οι πρωταρχικοί στόχοι Τι είναι το πιο ασφαλές λειτουργικό σύστημα κινητού τηλεφώνου; Ποιο είναι το πιο ασφαλές λειτουργικό σύστημα κινητής τηλεφωνίας; Μάχη για τον τίτλο του πιο ασφαλούς κινητού λειτουργικού συστήματος, έχουμε: Android, BlackBerry, Ubuntu, Windows Phone και iOS. Ποιο λειτουργικό σύστημα είναι το καλύτερο στο να κρατάτε το δικό του κατά των online επιθέσεων; Διαβάστε περισσότερα . Επιπλέον, η Apple έχει ένα αστρικό αρχείο ασφαλείας για το μεγαλύτερο μέρος Η Ultimate Mac Security Guide: 20 τρόποι για να προστατεύσετε τον εαυτό σας Ultimate Mac Οδηγός Ασφαλείας: 20 τρόποι για να προστατεύσετε τον εαυτό σας Μην είστε θύμα! Ασφαλίστε το Mac σας σήμερα με τον εξαντλητικό οδηγό ασφαλείας High Sierra. Διαβάστε περισσότερα, όπως αποδεικνύεται από την ταχεία και αποτελεσματική ενημέρωσή τους για να εξουδετερώσουν την απειλή που απειλεί.
Έχετε επηρεαστεί από το ελάττωμα ασφαλείας της Apple; Ή η ενημέρωση έφτασε αρκετά γρήγορα για να σας σταματήσει να ανησυχείτε; Ας γνωρίσουμε τις σκέψεις σας παρακάτω!