Securitate

Apple Patches Major MacOS Security Issue Verificați actualizările acum

Apple Patches Major MacOS Security Issue Verificați actualizările acum / Securitate

Un cercetător turc de securitate a expus un bug major în MacOS High Sierra. Defecțiunea face posibil ca un atacator să obțină acces la o mașină fără o parolă, precum și accesul la drepturi de administrator puternice. Apple a emis un patch pentru a remedia vulnerabilitatea care afectează aproape toate sistemele MacOS High Sierra.

Sistemele nesalvate, totuși, rămân nesigure ...

Ce este Bugul?

Defecțiunea a fost afectată de dezvoltatorul turc Lemi Orhan Ergan. A permis oricui să obțină drepturi administrative complete asupra unei mașini MacOS High Sierra prin simpla tastare “rădăcină” ca nume de utilizator în caseta de dialog de autentificare. Apoi, lăsând câmpul de parolă gol și făcând clic pe “descuia” de două ori, accesul administrativ complet este acordat.

Puteți accesa această opțiune prin Preferințe sistem> Utilizatori și grupuri> Faceți clic pe blocare pentru a efectua modificări. Apoi folosiți "root" fără parolă. Și încercați de mai multe ori. Rezultatul este de necrezut! pic.twitter.com/m11qrEvECs

- Lemi Orhan Ergin (@lemiorhan) 28 noiembrie 2017

Teoretic, înainte de a patch-urilor, dacă ai părăsi Mac-ul nesupravegheat, cineva ar putea obține cu ușurință acces și va distruge mașina. De exemplu, s-ar putea să instaleze un program malware. 5 Moduri ușoare de infectare a calculatorului dvs. cu malware 5 modalități ușoare de a vă infecta calculatorul cu malware S-ar putea să credeți că este destul de greu să vă infectați calculatorul cu malware, dar există întotdeauna excepții. Iată cinci modalități prin care puteți să vă murdăriți computerul. Citiți mai multe, parole de captare 5 modalități ușoare de a vă infecta calculatorul cu malware 5 modalități ușoare de a vă infecta calculatorul cu malware S-ar putea să vă gândiți că este destul de greu să vă infectați calculatorul cu malware, dar există întotdeauna excepții. Iată cinci modalități prin care puteți să vă murdăriți computerul. Citiți mai multe folosind accesul prin cheie (Keychain Access) Dacă folosiți keychain-ul iCloud pentru a sincroniza parolele pe Mac & iOS? Ar trebui să utilizați iCloud Keychain pentru a sincroniza parolele pe Mac & iOS? Dacă folosiți în primul rând produsele Apple, de ce să nu folosiți complet propriul manager de parole al companiei? Citește mai mult, șterge sau rupe Apple ID-ul tău și multe altele.

Dar Apple a rezolvat problema, corect?

Așa cum am scris acest articol, Apple a lansat actualizarea de securitate pentru a patch-uri problema. Se spune declarația de actualizare a conținutului de securitate Apple “O eroare logică a existat în validarea acreditărilor. Acest lucru a fost abordat cu o validare îmbunătățită a creditelor.”

Remedierea este deja disponibilă pe Mac App Store. De asemenea, actualizarea se va aplica automat pentru Mac-urile care rulează High Sierra 10.13.1 de miercuri 29lea Noiembrie. Apple a extins situația cu următoarea declarație:

“Securitatea este o prioritate de vârf pentru fiecare produs Apple și, din păcate, ne-am împiedicat de această lansare de MacOS.

“Când inginerii noștri de securitate au luat cunoștință de problema marți după-amiază, am început imediat să lucrăm la o actualizare care închide gaura de securitate. În această dimineață, de la ora 8:00, actualizarea este disponibilă pentru descărcare și începând mai târziu astăzi va fi instalată automat pe toate sistemele care rulează cea mai recentă versiune (10.13.1) a MacOS High Sierra.

“Regretăm foarte mult această eroare și ne cerem scuze tuturor utilizatorilor de Mac, atât pentru eliberarea cu această vulnerabilitate, cât și pentru îngrijorarea pe care a cauzat-o. Clienții noștri merită mai bine. Audităm procesele noastre de dezvoltare pentru a preveni acest lucru din nou.”

Dar ei deja știau despre asta?

Din nefericire pentru Apple, această problemă a apărut deja - dar nu a primit nicio acțiune. Un membru al forumului de suport al Apple a postat detalii exacte despre acest bug cu mai mult de două săptămâni în urmă. Postarea originală și răspunsurile par să vadă bug-ul major ca o posibilitate de depanare, mai degrabă decât o amenințare critică de securitate.

Ce fac acum?

Primul lucru pe care trebuie să-l faceți este să verificați actualizarea sistemului. Apple a fost pus să lanseze actualizarea automată a patch-urilor la un moment dat în ultimele 24 de ore. Dacă actualizarea automată nu a apărut, ar trebui să mergeți la Mac App Store și să căutați actualizarea acolo. Alternativ, faceți clic pe acest link.

După ce se actualizează actualizarea, instalați imediat.

Nu funcționează

Dacă vreun motiv pentru care actualizarea nu se va instala, mai întâi opriți și porniți sistemul, apoi reîncercați. Apple a automatizat procesul.

În caz contrar, urmați acești pași pentru a asigura sistemul dvs. între timp:

  1. Open Spotlight, căutați Utilitar pentru director, selectați opțiunea corespunzătoare
  2. Faceți clic pe blocare pentru a efectua modificări; introduceți numele de utilizator și parola pentru contul de administrare
  3. Veniți la Meniu> Editare
  4. Selectați Activați Utilizatorul Root; creați o parolă și verificați

Cu toate acestea, aceasta este o diferență de oprire. Încercați să instalați actualizarea oficială.

Ochii pe Sursă

Pe măsură ce Apple patch-uri bug-ul, ochii se întorc la Lemi Orhan Ergan. Descrierea de sine “software meșteșugar” este criticat pentru nerespectarea ghidurilor de dezvăluire responsabile Dezvăluirea completă sau responsabilă: Cum sunt dezvăluite vulnerabilitățile de securitate Dezvăluirea completă sau responsabilă: Cum sunt descoperite vulnerabilitățile de securitate Vulnerabilitățile de securitate din pachetele software populare sunt descoperite tot timpul, dar cum sunt raportate dezvoltatorilor, și cum învață hackerii despre vulnerabilitățile pe care le pot exploata? Citeste mai mult . Divulgarea responsabilă solicită cercetătorilor din domeniul securității să informeze companiile cu privire la amenințările la adresa securității pentru a permite timp pentru remedierea defecțiunilor. După ce defectul este stabilit, cercetătorul este în mod clar să prezinte concluziile publicului.

ACEASTĂ NU ESTE NECESARE DISCUȚIE RESPONSABILĂ. Acest lucru este extrem de iresponsabil, în special pentru o vulnerabilitate de această amploare. Apple are un sistem excelent de dezvăluire, iar echipa lor este extrem de receptivă. VĂ RUGĂM să nu faceți așa ceva. https://t.co/E6iOX5A43C

- Johnny Xmas (@ J0hnnyXm4s) 28 noiembrie 2017

Desigur, acest sistem nu funcționează întotdeauna așa cum a fost intenționat. Companiile nu răspund, iar cercetătorii din domeniul securității devin nerăbdători. În aceste situații, crearea unei probleme publice forțează mâna companiei, determinându-i să remedieze amenințarea la adresa securității.

După ce a primit o cantitate semnificativă de critici, Ergan a făcut o răsplată pe Medium. El explică că el “nu este nici hacker, nici specialist în securitate,” continuarea “Mă concentrez exclusiv pe practicile de codificare securizată în timpul programării, dar nu mă pot numi niciodată un specialist în securitate.”

Stimate @AppleSupport, am observat o problemă de securitate * Hug * la MacOS High Sierra. Oricine se poate conecta ca "root" cu parola goală după ce a făcut clic pe butonul de conectare de mai multe ori. Ești conștient de asta @Apple?

- Lemi Orhan Ergin (@lemiorhan) 28 noiembrie 2017

În toată corectitudinea, bug-ul a fost discutat pe forumul de asistență Apple. În plus, Ergan susține colegii săi de la firma de plăți Iyzico că a dezvăluit amenințarea la adresa Apple pe 23rd Noiembrie - dar niciodată nu a primit un răspuns.

Ochii pe minge

De la sursă la companie. Apple la lăsat pe acesta să alunece prin plasă? Într-un cuvânt, da: mai ales dacă au fost conștienți de bug-ul așa cum susține Ergan. Din păcate, nu știm adevărul, deci nu putem face o evaluare solidă a situației.

Chiar și după ce au suferit cea de-a doua actualizare forțată într-un an (încă numai cea de-a doua actualizare a securității forțată), Apple nu trebuie să-și facă griji. Cazurile de malware MacOS și iOS sunt în creștere Cresterea malware-urilor vizate de Apple - Iată ce să urmăriți în 2016 Cresterea malware-ului orientată spre Apple - Iată ce să căutați în 2016 Hardware-ul Apple nu mai este un paradis sigur de la hackeri, malware, ransomware , și alte amenințări cibernetice. Prima jumătate a anului 2016 demonstrează că, fără precauții corecte, dispozitivele dvs. pot deveni riscuri ... Citește mai mult, dar Windows și Android rămân principalele ținte Care este cel mai sigur sistem de operare mobil? Care este cel mai sigur sistem de operare mobil? Battling pentru titlul de cel mai sigur sistem de operare mobil, avem: Android, BlackBerry, Ubuntu, Windows Phone și iOS. Care sistem de operare este cel mai bun la ținerea propriilor împotriva atacurilor online? Citeste mai mult . În plus, Apple are o înregistrare de securitate stelară în cea mai mare parte Ultimate Mac Security Guide: 20 de moduri de a vă proteja Ultimate Mac Ghid de securitate: 20 Moduri de a vă proteja Nu fiți o victimă! Asigurați-vă Mac-ul astăzi cu ghidul nostru de securitate High Sierra. Citiți mai multe, după cum reiese din actualizarea rapidă și eficientă a acestora, pentru a atenua amenințarea în creștere.

Ați fost afectat de defecțiunea de securitate a Apple? Sau a apărut actualizarea suficient de rapid pentru a vă opri să vă îngrijorați? Să ne cunoaștem gândurile de mai jos!

Explorați mai multe despre: Computer Security, macOS High Sierra.