ProBeat: macOS root sårbarhed skal være Apples opkald

Hvad er værre end at have en død-enkel adgangskode, som alle kan gætte? Intet kodeord. For at følge med, lad os tilføje et brugernavn, som alle kan indtaste. Det er præcis, hvad der skete med Apple denne uge: Enhver kunne logge ind på din Mac med brugernavnet "root" og en tom adgangskode.

Åh, og så længe du var på samme netværk, kunne du endda bryde ind i Mac'er på afstand - fysisk adgang var ikke nødvendig. Det var sikkert kun for Mac'er, der kørte nogle gamle version af OS X, right? Nej, sårbarheden ramte den nyeste version af macOS: High Sierra (10.13.1).

Kære @AppleSupport, vi bemærkede et * HUGE * sikkerhedsproblem ved MacOS High Sierra. Enhver kan logge ind som "root" med tom adgangskode efter at have klikket på login-knappen flere gange. Er du opmærksom på det @Æble?

- Lemi Orhan Ergin (@lemiorhan) November 28, 2017

Kan du forestille dig, om Windows 10 havde sådan en sårbarhed?

Til Apples kredit blev sårbarheden viral på tirsdag og var fast på onsdag:

Tilgængelig til: macOS High Sierra 10.13 og MacOS High Sierra 10.13.1
Ikke påvirket: macOS Sierra 10.12.6 og tidligere
Virkning: En angriber kan muligvis omgå administratorautentificering uden at give administratorens adgangskode
Beskrivelse: Der var en logisk fejl ved valideringen af ​​legitimationsoplysninger. Dette blev behandlet med forbedret validering af legitimationsoplysninger.
CVE-2017-13872

Denne løsning brækkede fildeling for nogle brugere, men husk det ikke. Dette er ikke den type fix du bruger uger testning.

Taler om test, er det forbløffende, at sådan en fejl har gjort det til produktionsmaskiner i første omgang. Dette er den type fejl, du forventer en smidig opstart uden et sikkerhedsteam til at gøre, ikke verdens mest værdifulde selskab, en som regelmæssigt proklamerer, at det tager brugerens privatliv og sikkerhed mere seriøst end nogen anden. At dette kun ramte de Mac-brugere, der flittigt holdt deres computere up-to-date, føjer kun fornærmelse til skade.

Apples tilgang til sikkerhed kan opsummeres i to punkter. For det første mener virksomheden, at dens software er mere sikker end konkurrencen. Ingen overraskelse der - de fleste tekniske firmaer mener, at deres løsning er den bedste. Som altid tager Apple dette på et helt andet niveau, men macOS og iOS er konkurrencedygtige med hensyn til sikkerhed, så det er ikke nødvendigt at ændre noget her.

For det andet, og det medfører problemer med det første punkt, har virksomheden ikke et godt forhold til sikkerhedssamfundet. For eksempel, mens de fleste tekniske virksomheder har flere robuste bug-bounty-programmer, lancerede Apple kun sin første i 2016, gjorde det kun invitere, og Det går ikke overraskende ikke så godt. At holde sikkerhedssamfundet på armlængden er, hvor alt går i stykker.

Der er nogle tegn på, at Apple gør fremskridt, i det mindste i, hvordan det håndterer sikkerhedslip. For nogle få år siden ville virksomheden have rettet denne fejl og flyttede stille. I 2017 undskylder Apple i hvert fald.

"Sikkerhed er en topprioritet for alle Apple-produkter, og vi beklager desværre med denne udgivelse af macOS," sagde Apple i en erklæring. "Vi beklager dybt denne fejl, og vi beklager alle Mac-brugere."

Alligevel er denne uges sårbarhed en enorm forlegenhed. Det er den perfekte påmindelse om, at på trods af alle de fordele, Apple har med hensyn til produkt- og service sikkerhed, er det stadig forfærdeligt mismanaged. Apple vil utvivlsomt undersøge, hvordan denne sårbarhed kom igennem i første omgang, som det burde, men arbejdet kan ikke ende der. Denne rodproblem blev markeret på Apples udviklerforum uger siden.

Apple skal sætte sin stolthed til side og bede om hjælp.

Oprindelig artikel

Efterlad en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.