En tyrkisk sikkerhedsforsker har udsat en stor fejl i MacOS High Sierra. Fejlen gør det muligt for en hacker at få adgang til en maskine uden adgangskode - samt adgang til kraftige administratorrettigheder. Apple har udstedt en patch til at løse sårbarheden, der påvirker næsten alle MacOS High Sierra-systemer.
Upatchede systemer forbliver dog usikre ...
Hvad er fejlen?
Fejlen var ude af den tyrkiske udvikler Lemi Orhan Ergan. Det tillod nogen at få fuld administrative rettigheder over en macOS High Sierra-maskine ved blot at skrive "root" som brugernavn i godkendelsesdialogboksen. Derefter forlades adgangskodefeltet tomt og klikker på knappen "Lås op" to gange, og der gives fuld administrativ adgang.
Du kan få adgang til det via Systemindstillinger> Brugere og grupper> Klik på lås for at foretage ændringer. Brug derefter "root" uden adgangskode. Og prøv det flere gange. Resultatet er utroligt! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28. november 2017
I teorien, hvis du lader din Mac være uden tilsyn, kan du nemt få adgang til og ødelægge din maskine før plaster. For eksempel kan de installere malware 5 Easy Ways at inficere din Mac med malware 5 nemme måder at inficere din Mac med malware Du tror måske, det er ret svært at inficere din Mac med malware, men der er altid undtagelser. Her er fem måder, hvorpå du kan få din computer beskidt. Læs mere, tag adgangskoder 5 Nemme måder at inficere din Mac med malware 5 nemme måder at inficere din Mac med malware Du tror måske, det er ret svært at inficere din Mac med malware, men der er altid undtagelser. Her er fem måder, hvorpå du kan få din computer beskidt. Læs mere ved brug af nøgleringstilgang Skal du bruge ICloud-nøglering til at synkronisere adgangskoder på Mac & IOS? Skal du bruge iCloud nøglering til at synkronisere adgangskoder på Mac & IOS? Hvis du primært bruger Apple-produkter, hvorfor ikke bruge virksomhedens egen adgangskodeadministrator helt gratis? Læs mere, slet eller ødelæg dit Apple ID, og meget mere.
Men Apple har rettet problemet, ikke?
Som jeg skrev i denne artikel, frigav Apple sikkerhedsopdateringen for at patchere problemet. Opdateringserklæringen fra Apple Security Content siger "Der var en logisk fejl ved validering af legitimationsoplysninger. Dette blev behandlet med forbedret godkendelse af validering. "
Løsningen er allerede tilgængelig i Mac App Store. Opdateringen gælder også automatisk for Mac'er, der kører High Sierra 10.13.1 fra onsdag den 29. november. Apple udvidede situationen med følgende erklæring:
"Sikkerhed er en topprioritet for alle Apple-produkter, og vi beklager desværre med denne udgivelse af macOS.
"Da vores sikkerhedsingeniører blev opmærksom på spørgsmålet tirsdag eftermiddag, begyndte vi straks at arbejde på en opdatering, der lukker sikkerhedshullet. Denne formiddag fra kl. 8 er opdateringen tilgængelig til download, og starter senere i dag installeres den automatisk på alle systemer, der kører den nyeste version (10.13.1) af macOS High Sierra.
"Vi beklager dybt denne fejl, og vi beklager alle Mac-brugere, både for at frigive med denne sårbarhed og for den bekymring, den har forårsaget. Vores kunder fortjener bedre. Vi reviderer vores udviklingsprocesser for at forhindre, at dette sker igen. "
Men de vidste allerede om det?
Desværre for Apple, var dette problem allerede overfaldet - men modtaget ingen handling. Et medlem af Apples supportforum skrev nøjagtige detaljer om fejlen for mere end to uger siden. Det oprindelige indlæg og svar ser ud til at se den største fejl som en potentiel fejlfinding funktion, snarere end en kritisk sikkerhedstrussel.
"Sikkerhedsfejlen blev oprindeligt beskrevet som en løsning på et bruger login problem på Apples udviklingsforum." Dude, udnyttelsen var på internettet. Hvad med at lade alle kvidre potentielt beskytte sig mod denne fejl ved at indstille en root-adgangskode? https://t.co/sGLJW1pSOq
- Elisabeth J Allen (@ej_allen) 29. november 2017
Hvad gør jeg nu?
Nå, den første ting at gøre er hovedet for at tjekke for systemopdatering. Apple blev indstillet til at udrulle opdateringen af den automatiske opdatering på et tidspunkt i de sidste 24 timer. Hvis den automatiske opdatering ikke vises, skal du gå til Mac App Store og søge efter opdateringen der. Du kan også klikke på dette link.
Når opdateringen er hentet, skal du installere det med det samme.
Det virker ikke
Hvis en eller anden grund opdateringen ikke vil installere, skal du slukke og slukke for systemet, og prøv igen. Apple har automatiseret processen.
Ellers skal du følge disse trin for at sikre dit system i mellemtiden:
- Åbn Spotlight, søg efter Directory Utility, vælg den tilsvarende mulighed
- Klik på låsen for at foretage ændringer; Indtast dit brugernavn og adgangskode til den administrative konto
- Gå til Menu> Rediger
- Vælg Aktivér Root User ; Opret en adgangskode og bekræft
Dette er dog et stop-gap. Prøv venligst at installere den officielle opdatering.
Øjne på kilden
Som Apple patcherer bugten, vender øjnene til Lemi Orhan Ergan. Den selvbeskrevne "softwarehåndværkere" modtager kritik for ikke at overholde ansvarlige retningslinjer for offentliggørelse Fuld eller ansvarlig offentliggørelse: Hvordan sikkerhedsproblemer er afsløret Fuld eller ansvarlig offentliggørelse: Hvordan sikkerhedsproblemer er afsløret Sikkerhedsproblemer i populære softwarepakker opdages hele tiden, men hvordan bliver de rapporteret til udviklere, og hvordan lærer hackere om sårbarheder, som de kan udnytte? Læs mere . Ansvarlig oplysning beder sikkerhedsforskere om at informere virksomheder om sikkerhedstrusler for at give tid til at rette fejlen. Efter at fejlen er løst, er forskeren klar til at præsentere deres resultater for offentligheden.
DETTE ER IKKE ANSVARLIG BESLUTNING. Dette er yderst uansvarligt, især for en sårbarhed af denne størrelsesorden. Apple har et fremragende oplysningssystem, og deres team er usædvanligt lydhør. VENLIGST gør ikke ting som dette. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28. november 2017
Selvfølgelig fungerer dette system ikke altid som beregnet. Virksomheder undlader at svare, og sikkerhedsforskere bliver utålmodige. I disse tilfælde styrker oprettelsen af et offentligt problem selskabets hånd og tvinger dem til at løse sikkerhedsrisikoen.
Efter at have modtaget en betydelig kritik, sendte Ergan en riposte på Medium. Han forklarer, at han "hverken er en hacker eller en sikkerhedsspecialist, " fortsætter ". Jeg fokuserer udelukkende på sikker kodningspraksis under programmeringen, men jeg kan aldrig kalde mig en sikkerhedsspecialist."
Kære @AppleSupport, vi har bemærket et * HUGE * sikkerhedsproblem ved MacOS High Sierra. Enhver kan logge ind som "root" med tom adgangskode efter at have klikket på login-knappen flere gange. Er du opmærksom på det @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28. november 2017
I alt retfærdighed blev fejlen diskuteret på Apple support forum. Desuden hævder Ergan sine kolleger på betalingsselskabet Iyzico afslørede truslen mod Apple den 23. november - men fik aldrig svar.
Øjne på bolden
Fra kilden til virksomheden. Har Apple ladet denne glide igennem nettet? I et ord ja: især hvis de var opmærksomme på fejlen som Ergan hævder. Desværre ved vi ikke sandheden, så vi kan ikke foretage en solid vurdering af situationen.
Selv efter at have lidt deres anden tvungne opdatering om et år (stadig kun deres anden tvunget sikkerhedsopdatering nogensinde), bør Apple ikke bekymre sig. Tilfælde af macOS og iOS-malware er stigende Apple-målrettede malwareforhøjelser - her er hvad der skal ses i 2016 Apple-målrettede malwareforhøjelser - her er hvad man skal se ud i 2016 Apple hardware er ikke længere et sikkert paradis for hackere, malware, ransomware, og andre cyber-trusler. Første halvdel af 2016 viser, at uden de rette forholdsregler kan dine enheder blive risici .... Læs mere, men Windows og Android forbliver de primære mål Hvad er det mest sikre mobile operativsystem? Hvad er det mest sikre mobile operativsystem? Kæmper for titlen på Most Secure Mobile OS, har vi: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er det bedste ved at holde sig selv mod onlineangreb? Læs mere . Desuden har Apple en stor sikkerhedspost for det meste. Den ultimative Mac Security Guide: 20 måder at beskytte dig selv Den ultimative Mac Security Guide: 20 måder at beskytte dig selv Vær ikke offer! Sikre din Mac i dag med vores udtømmende High Sierra sikkerhedsguide. Læs mere, som det fremgår af deres hurtige og effektive opdatering, for at afværge den voksende trussel.
Har du været berørt af Apple-sikkerhedsfejl? Eller kom opdateringen hurtigt nok til at stoppe dig for at bekymre dig? Lad os kende dine tanker nedenfor!