En tyrkisk sikkerhetsforsker har avslørt en stor feil i MacOS High Sierra. Feilen gjør det mulig for en angriper å få tilgang til en maskin uten et passord - samt tilgang til kraftige administratorrettigheter. Apple har utstedt en patch for å fikse sikkerhetsproblemet som påvirker nesten alle MacOS High Sierra-systemer.
Upatchede systemer forblir imidlertid usikre ...
Hva er feilen?
Feilen var ute av den tyrkiske utvikleren Lemi Orhan Ergan. Det tillot at noen får full administrative rettigheter over en MacOS High Sierra-maskin ved å bare skrive "root" som brukernavn i autentiseringsdialogboksen. Deretter forlater du passordfeltet tomt og klikker "Lås opp" -knappen to ganger, full administrativ tilgang blir gitt.
Du kan få tilgang til det via Systemvalg> Brukere og grupper> Klikk på låsen for å gjøre endringer. Bruk deretter "root" uten passord. Og prøv det flere ganger. Resultatet er utrolig! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28. november 2017
I teorien, før oppdateringen, hvis du forlot Macen uten tilsyn, kunne noen enkelt få tilgang og ødelegge maskinen din. For eksempel kan de installere skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare Du kan tro det er ganske vanskelig å infisere Mac med skadelig programvare, men det er alltid unntak. Her er fem måter du kan få datamaskinen til å bli skitten. Les mer, ta opp passord 5 Enkle måter å infisere Mac med skadelig programvare 5 enkle måter å infisere Mac med skadelig programvare Du kan tro det er ganske vanskelig å infisere Mac med skadelig programvare, men det er alltid unntak. Her er fem måter du kan få datamaskinen til å bli skitten. Les mer ved hjelp av nøkkelringtilgang Skal du bruke iCloud-nøkkelring til å synkronisere passord på Mac og iOS? Skal du bruke iCloud nøkkelring til å synkronisere passord på Mac og iOS? Hvis du primært bruker Apple-produkter, hvorfor ikke bruk selskapets egen passordbehandling helt gratis? Les mer, slett eller ødelegge Apple ID, og mer.
Men Apple har løst problemet, ikke sant?
Som jeg skrev denne artikkelen, utgav Apple sikkerhetsoppdateringen for å lappe problemet. Oppdateringserklæringen for sikkerhetsinnholdet i Apple sier "En logikkfeil eksisterte ved validering av legitimasjonsbeskrivelser. Dette ble behandlet med forbedret legitimasjon av legitimasjon. "
Fiksingen er allerede tilgjengelig i Mac App Store. Oppdateringen gjelder også automatisk for Mac-maskiner som kjører High Sierra 10.13.1 fra onsdag 29. november. Apple utvidet seg på situasjonen med følgende erklæring:
"Sikkerhet er en topp prioritet for alle Apple-produkter, og dessverre snublet vi med denne utgivelsen av macOS.
"Da våre sikkerhetsingeniører ble kjent med spørsmålet tirsdag ettermiddag, begynte vi umiddelbart å jobbe med en oppdatering som lukker sikkerhetshullet. Denne morgenen, fra og med 8.00, er oppdateringen tilgjengelig for nedlasting, og starter senere i dag blir den automatisk installert på alle systemer som kjører MacOS High Sierras nyeste versjon (10.13.1).
"Vi beklager i stor grad denne feilen, og vi beklager alle Mac-brukere, både for utgivelse med dette sikkerhetsproblemet og for bekymringen det har forårsaket. Våre kunder fortjener bedre. Vi reviderer utviklingsprosessene våre for å forhindre at dette skjer igjen. "
Men de visste allerede om det?
Dessverre for Apple hadde dette problemet allerede oppstått - men fikk ingen handling. Et medlem av Apples støtteforum postet eksakte detaljer om feilen for mer enn to uker siden. Det opprinnelige innlegget og svarene ser ut til å vise den største feilen som en potensiell feilsøkingsfunksjon, snarere enn en kritisk sikkerhetsrisiko.
"Sikkerhetsfeilen var opprinnelig detaljert som en løsning på et brukerloggproblem på Apples utviklerstøtteforum." Dude, utnyttelsen var på internett. Hva med å la alle Twitter potensielt beskytte seg mot denne feilen ved å sette et rotpassord? https://t.co/sGLJW1pSOq
- Elisabeth J Allen (@ej_allen) 29. november 2017
Hva gjør jeg nå?
Vel, det første du må gjøre er å se etter systemoppdatering. Apple ble innstilt for å utrulle oppdateringen av automatisk oppdatering på et tidspunkt i de siste 24 timene. Hvis den automatiske oppdateringen ikke har oppstått, bør du gå til Mac App Store og søke etter oppdateringen der. Du kan også klikke på denne linken.
Når oppdateringen lastes ned, installeres umiddelbart.
Det fungerer ikke
Hvis det ikke er noen grunn til at oppdateringen ikke vil installere, må du slå systemet av og på, og prøv på nytt. Apple har automatisert prosessen.
Ellers følger du disse trinnene for å sikre systemet ditt i mellomtiden:
- Åpne Spotlight, søk etter Directory Utility, velg det tilsvarende alternativet
- Klikk på låsen for å gjøre endringer; skriv inn brukernavnet og passordet ditt for administratorkontoen
- Gå til Meny> Rediger
- Velg Aktiver Root User ; Opprett et passord og bekreft
Dette er imidlertid et stopp-gap. Vennligst prøv å installere den offisielle oppdateringen.
Øyne på kilden
Som Apple lapper feilen, blir øynene til Lemi Orhan Ergan. Den selvbeskrevne "softwarehåndverkeren" mottar kritikk for ikke å overholde ansvarlige retningslinjer for offentliggjøring Fullstendig eller ansvarlig avsløring: Hvordan sikkerhetsproblemer blir avslørt Fullstendig eller ansvarlig avsløring: Hvordan sikkerhetsproblemer er avslørt Sikkerhetsproblemer i populære programvarepakker blir oppdaget hele tiden, men hvordan blir de rapportert til utviklere, og hvordan lærer hackere om sårbarheter som de kan utnytte? Les mer . Ansvarlig avsløring ber sikkerhetsforskere å informere selskaper om sikkerhetstrusler for å gi tid til å fikse feilen. Etter at feilen er løst, er forskeren klar til å presentere sine funn for publikum.
DETTE ER IKKE ANSVARLIG BESLUTNING. Dette er ekstremt uansvarlig, spesielt for en sårbarhet av denne størrelsen. Apple har et utmerket opplysningssystem, og teamet deres er svært responsivt. VENNLIGST gjør ikke ting som dette. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28. november 2017
Selvfølgelig fungerer dette systemet ikke alltid som ønsket. Bedrifter unnlater å svare, og sikkerhetsforskere blir utålmodige. I disse tilfellene tvinger det å skape et offentlig problem styrken av selskapet, og tvinger dem til å fikse sikkerhetsrisikoen.
Etter å ha mottatt en betydelig kritikk, skrev Ergan en riposte på Medium. Han forklarer at han "hverken er en hacker eller en sikkerhetsspesialist, " fortsetter ", fokuserer jeg bare på sikker kodingspraksis under programmering, men jeg kan aldri kalle meg en sikkerhetsspesialist."
Kjære @AppleSupport, vi la merke til et * HUGE * sikkerhetsproblem ved MacOS High Sierra. Alle kan logge inn som "root" med tomt passord etter å ha klikket på login-knappen flere ganger. Er du klar over det @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28. november 2017
I all rettferdighet ble feilen diskutert på Apple support forum. Videre hevder Ergan sine kolleger på betalingsselskapet Iyzico avslørte trusselen mot Apple 23. november - men mottok aldri svar.
Øyne på ballen
Fra kilden til selskapet. La apple denne slippe gjennom nettet? I et ord, ja: spesielt hvis de var klar over feilen som Ergan hevder. Dessverre vet vi ikke sannheten, så vi kan ikke gjøre en solid vurdering av situasjonen.
Selv etter å ha latt deres andre tvunget oppdatering om et år (fortsatt bare deres andre tvunget sikkerhetsoppdatering noensinne), burde Apple ikke bekymre seg. Forekomsten av macOS og iOS malware øker Apple-målrettede malwareøkninger - Her ser du ut til i 2016 Apple-målrettede malwareøkninger - Her ser du ut til i 2016 Apple-maskinvare er ikke lenger et trygt fristed fra hackere, skadelig programvare, ransomware, og andre cyber-trusler. Første halvdel av 2016 viser at uten de riktige forholdsregler, kan enhetene dine bli risikoer .... Les mer, men Windows og Android forblir de viktigste målene Hva er det mest sikre mobile operativsystemet? Hva er det sikreste mobile operativsystemet? Kampen for tittelen Most Secure Mobile OS har vi: Android, BlackBerry, Ubuntu, Windows Phone og iOS. Hvilket operativsystem er det beste ved å holde sine egne mot onlineangrep? Les mer . Videre har Apple et sterkt sikkerhetsoppdrag for det meste. Den ultimate Mac Security Guide: 20 måter å beskytte deg Den ultimate Mac Security Guide: 20 måter å beskytte deg selv Ikke vær offer! Sikre Macen din i dag med vår uttømmende High Sierra sikkerhetsguide. Les mer, som det fremgår av deres hurtige og effektive oppdatering, rulle ut for å skjule den voksende trusselen.
Har du blitt påvirket av Apple-sikkerhetsfeilen? Eller har oppdateringen kommet raskt nok for å stoppe deg med å bekymre deg? Gi oss beskjed om dine tanker nedenfor!