土耳其安全研究人员发现了macOS High Sierra中的一个主要错误。该缺陷使攻击者无需密码即可进入计算机,并获得强大的管理员权限。苹果已经发布了补丁程序来修复影响几乎所有macOS High Sierra系统的漏洞。
未打补丁的系统仍然不安全……
Bug是什么?
该漏洞由土耳其开发商Lemi Orhan Ergan发散。只需在身份验证对话框中键入“ root"作为用户名,它便允许任何人获得对macOS High Sierra计算机的完全管理权限。然后,将密码字段保留为空白,然后单击两次“解锁",将授予完全管理访问权限。
-Lemi Orhan Ergin(@lemiorhan),2017年11月28日
理论上,在补丁发布之前,如果您无人照管Mac,那么有人可能会轻易获得访问权限并破坏您的计算机。例如,他们可能会安装恶意软件,删除或破坏您的Apple ID等。
但是Apple已经解决了这个问题,对吗?
在撰写本文时,Apple发布了安全更新程序可修复此问题。 Apple安全性内容更新声明说:“凭据验证中存在逻辑错误。
此修复程序已在Mac App Store上提供。另外,此更新将自动应用于11月29日(星期三)起运行High Sierra 10.13.1的Mac。 Apple通过以下声明扩展了这种情况:
“安全性是每个Apple产品的重中之重,遗憾的是,我们偶然发现了此版本的macOS。
“当我们的安全工程师在星期二下午意识到此问题时,我们立即开始着手进行弥补安全漏洞的更新。今天早上,从上午8点开始,该更新可供下载,从今天晚些时候开始,它将自动安装在运行最新版本(10.13.1)macOS High Sierra的所有系统上。
“对于此错误,我们深表歉意,并向所有Mac用户表示歉意,无论是发布此漏洞还是引起该漏洞。我们的客户应该得到更好的。
对于苹果公司来说,不幸的是,这个问题已经浮出水面,但没有采取任何行动。苹果支持论坛的一名成员在两个多星期前发布了该错误的确切详细信息。原始帖子和回复似乎将主要错误视为潜在的故障排除功能,而不是严重的安全威胁。
我现在要做什么?
首先,要做的就是检查系统更新。 Apple已设置为在过去24小时内的某个时间推出自动补丁更新。如果未出现自动更新,则应前往Mac App Store并在其中搜索更新。或者,单击此链接。
下载更新后,立即安装。
如果由于某种原因无法安装更新,请先关闭系统电源然后再打开。 Apple已使该过程自动化。
否则,请按照以下步骤同时保护系统安全:
但这是一个权宜之计。请尝试安装官方更新。
源上的眼睛
在Apple修复该错误后,目光转向了Lemi Orhan Ergan。自我描述的“软件工匠"因不遵守负责任的披露准则而受到批评。负责任的披露要求安全研究人员将安全威胁告知公司,以留出时间来修复漏洞。修复漏洞后,研究人员很容易向公众展示他们的发现。
-Johnny Xmas(@ J0hnnyXm4s),2017年11月28日
当然,该系统不会始终按预期工作。公司无法响应,安全研究人员变得不耐烦。在这种情况下,制造公开发行的股票会迫使公司发挥作用,迫使他们解决安全威胁。
在受到大量批评之后,埃尔根在媒体上发表了一个帖子。他解释说,他“既不是黑客,也不是安全专家",并继续说道:“我在编程时只专注于安全编码实践,但是我永远不能称自己为安全专家。"
— Lemi Orhan Ergin (@lemiorhan)2017年11月28日
公平地说,该错误已在Apple支持论坛上进行了讨论。此外,埃尔根(Ergan)声称其支付公司Iyzico的同事在11月23日披露了对苹果的威胁,但从未收到回应。
眼中的球
从源头到公司。苹果公司有没有让这一个漏网?简而言之,是的:尤其是当他们意识到Ergan声称的错误时。不幸的是,我们不知道真相,因此无法对情况进行可靠的评估。
即使在经历了一年的第二次强制更新(至今仍只有第二次强制安全更新)之后,Apple仍不应该不用担心macOS和iOS恶意软件的实例正在增加,迅速而有效的更新可以平息不断发展的威胁,这证明了这一点。
您是否受到Apple安全漏洞的影响?还是更新速度很快到足以让您担心的程度?在下面让我们知道您的想法!
