Apple frigivet en nødsituation opdatering, der er fastsat en kritisk fejl påvirker High Sierra operativsystemet, specifikt i APFS volumen styringssystem. . Ifølge sikkerhedsrapporter og virksomheden en fejl tillod adgangskoderne at blive afsløret via adgangskodetippet funktionen.
Emergency Patch Rettelser Apples High Sierra Password Bug (CVE-2017-7149)
Fejlen er sporet i CVE-2017-7149 Security Advisory og har en alvorlig sårbarhed i den måde, det nye APFS filsystemet implementeres. Problemet er fundet på den måde adgangskodetippet håndteres. Når det er konfigureret af brugeren adgangskoden selv er gemt som en almindelig tekststreng.
Opdagelsen blev gjort af Matheus Mariano, en sikkerhed forsker, mens han interagere med en ny krypteret volumen i en APFS beholder. Han valgte at oprette en adgangskode sammen med antydning. Når den nye beholder var monteret og password prompt aktiveret, adgangskoden blev åbenbaret i antydning feltet. I løbet af undersøgelsen er det blevet afsløret, at spørgsmålet kun rammer Mac-computere og bærbare computere, der er udstyret med SSD-drev.
Den frigivne patch løser et andet problem med Apples styresystem samt. For nylig High Sierra var påvirket af en sårbarhed, der tillod alm passwords at blive dumpet fra nøgleringen. Der er mistanke om, at problemet eksisterer også i tidligere versioner som El Capitan og Sierra. De sikkerhedsmæssige forskere konstatere, at fremvist problemer med en lav adgangsbarriere når en indtrængen punkt detekteres i klientmaskinerne.
Mac OS X-nøglering er en af de vigtigste sikkerheds komponenter i operativsystemet og er direkte ansvarlig for godkendelsesprocessen. Det giver en krypteret beholder, der holder kontooplysninger systemet bruger, samt adgangskoder og strygere, der anvendes til applikationer og online-tjenester. De seneste versioner indeholder evnen til at gemme følsomme data samt herunder: betaling kortdata, bank PIN-og andre legitimationsoplysninger.
Den ledsagende nøglering adgang komponent er den adgangskode management software, der håndterer nøgleringen komponenter ved at automatisere legitimationsoplysninger input. Beskrivelsen, der følger med CVE-2017-7149 sikkerhed rådgivende læser følgende:
Hvis et tip blev sat i Diskværktøj, når du opretter en APFS krypteret volumen, adgangskoden blev gemt som tippet. Dette blev rettet ved at rydde tip opbevaring hvis tippet var kodeordet, og ved at forbedre logikken til opbevaring af hints
Det anbefales, at alle Mac OS X-brugere anvender opdateringen straks at beskytte sig mod misbrug.