ProBeat: kerentanan akar macOS mestilah panggilan bangun Apple

Apa yang lebih buruk daripada mempunyai kata laluan mati-mudah yang boleh ditebak oleh orang lain? Tiada kata laluan. Untuk pergi, mari tambahkan nama pengguna yang boleh masuk. Itulah yang berlaku kepada Apple minggu ini: Sesiapa sahaja boleh log masuk ke Mac anda dengan nama pengguna "root" dan kata laluan kosong.

Oh, dan selagi anda berada di rangkaian yang sama, anda juga boleh memecah masuk ke Mac dari jauh - akses fizikal tidak diperlukan. Tentunya ini hanya untuk Mac yang menjalankan versi kuno OS X, kan? Tidak, kerentanan itu menjejaskan versi terbaru macOS: High Sierra (10.13.1).

Dear @AppleSupport, kami perhatikan isu keselamatan * BESAR * di MacOS High Sierra. Sesiapa sahaja boleh masuk sebagai "root" dengan kata laluan kosong setelah mengklik pada butang login beberapa kali. Adakah anda sedar mengenainya @Epal?

- Lemi Orhan Ergin (@lemiorhan) November 28, 2017

Bolehkah anda bayangkan jika Windows 10 mempunyai kelemahan seperti itu?

Kepada kredit Apple, kelemahan menjadi virus pada hari Selasa, dan telah ditetapkan pada hari Rabu:

Boleh didapati untuk: macOS High Sierra 10.13 dan macOS High Sierra 10.13.1
Tidak terpengaruh: macOS Sierra 10.12.6 dan lebih awal
Kesan: Penyerang mungkin dapat melangkau pengesahan pentadbir tanpa membekalkan kata laluan pentadbir
Penerangan: Kesilapan logik wujud dalam pengesahan kelayakan. Ini ditangani dengan pengesahan kepercayaan yang lebih baik.
CVE-2017 13872-

Pembetulan ini memecah perkongsian fail untuk sesetengah pengguna, tetapi tidak mengetahuinya. Ini bukan jenis pembetulan yang anda luangkan minggu ujian.

Bercakap tentang ujian, mengejutkan bahawa kecacatan itu membuatnya melalui mesin pengeluaran di tempat pertama. Ini adalah jenis kesilapan yang anda jangkakan permulaan yang baru tanpa pasukan keselamatan, bukan syarikat paling berharga di dunia, yang selalu menyatakan bahawa privasi dan keselamatan pengguna lebih serius daripada orang lain. Bahawa ini hanya menjejaskan pengguna Mac yang rajin memelihara komputer mereka yang terkini hanya menambah penghinaan terhadap kecederaan.

Pendekatan Apple untuk keselamatan boleh disimpulkan dalam dua mata. Pertama, syarikat percaya perisiannya lebih selamat daripada persaingan. Tidak hairanlah - firma teknologi paling percaya penyelesaiannya adalah yang terbaik. Seperti biasa, Apple mengambil ini ke tahap yang lain, tetapi macOS dan iOS adalah kompetitif dari segi keselamatan, jadi tidak perlu mengubah apa-apa di sini.

Kedua, dan ini menyebabkan masalah dengan titik pertama, syarikat itu tidak mempunyai hubungan yang baik dengan komuniti keselamatan. Sebagai contoh, sementara kebanyakan syarikat berteknologi mempunyai beberapa program karunia bug yang mantap, Apple hanya melancarkan yang pertama dalam 2016, menjadikannya hanya dijemput, dan ia tidak menghairankan tidak begitu baik. Menjaga komuniti keselamatan dengan panjang lengan adalah di mana segala-galanya runtuh.

Terdapat beberapa bukti bahawa Apple membuat kemajuan, sekurang-kurangnya bagaimana ia menangani snafus keselamatan. Beberapa tahun yang lalu, syarikat itu akan menetapkan kecacatan ini dan bergerak dengan senyap. Di 2017, Apple sekurang-kurangnya meminta maaf.

"Keamanan adalah keutamaan bagi setiap produk Apple, dan kami menyesal dengan penerbitan macOS ini," kata Apple dalam satu kenyataan. "Kami sangat menyesal kesilapan ini dan kami memohon maaf kepada semua pengguna Mac."

Namun, kelemahan minggu ini adalah sangat memalukan. Ia adalah peringatan yang sempurna bahawa walaupun semua kelebihan Apple mempunyai dari segi produk dan keselamatan perkhidmatan, ia masih buruk sekali salah. Apple pasti akan menyiasat bagaimana kerentanan ini dapat dilalui di tempat pertama, sepatutnya, tetapi kerja tidak boleh berakhir di sana. Kelemahan akar ini ditandakan pada forum pemaju Apple seminggu yang lalu.

Apple perlu meletakkan kebanggaannya dan meminta bantuan.

Artikel Asal

Sila tinggalkan balasan anda

Laman web ini menggunakan Akismet untuk mengurangkan spam. Ketahui bagaimana data komen anda diproses.