Apple veröffentlichte einen Notfall-Update, das einen kritischen Fehler beeinflusst die High Sierra-Betriebssystem festgelegt, speziell im Managementsystem APFS Volumen. . Laut Sicherheitsberichte und der Firma erlaubte ein Fehler die Passwort über die Passwort-Hinweis-Funktion offenbart werden.
Notfall-Patch behebt Apple High Sierra Passwort Bug (CVE-2017-7149)
Der Fehler ist in dem CVE-2017-7149 Security Advisory verfolgt und verfügt über eine schwere Sicherheitslücke in der Art und Weise das neue APFS Dateisystem implementiert ist,. Das Problem ist auf dem Weg der Kennworthinweis behandelt wird gefunden. Sobald es durch den Benutzer so konfiguriert ist, das Passwort selbst wird als Klartext String gespeichert.
Die Entdeckung wurde gemacht von Matheus Mariano, ein Sicherheitsforscher, während er mit einem neuen verschlüsselten Datenträger in einem APFS Behälter wurde die Interaktion. Er entschied sich ein Passwort zusammen mit dem Hinweis zu erstellen. Wann wurde der neue Container montiert, und die Passwortabfrage aktiviert, das Passwort wurde im Hinweisfeld enthüllt. Während der Untersuchung wurde gezeigt, dass das Problem nur Mac-Computern und Laptops wirkt mit SSD-Laufwerken ausgestattet.
Der freigegebene Patch löst ein weiteres Problem mit dem Apple-Betriebssystem sowie. Kürzlich High Sierra wurde durch eine Sicherheitslücke betroffen, die Klartext-Passwörter dürfen aus dem Schlüsselbund abgeladen werden. Es wird vermutet, dass das Problem existiert auch in früheren Versionen wie El Capitan und Sierra. Die Sicherheits Forscher erklären, dass die Probleme präsentiert eine niedrige Eintrittsbarriere darstellen, sobald ein Einbruchspunkt in den Zielmaschinen erkannt wird.
Der Mac OS X-Schlüsselbund ist eine der wichtigsten Sicherheitskomponenten im Betriebssystem und ist direkt verantwortlich für den Authentifizierungsprozess. Es stellt einen verschlüsselten Container, der die System-Benutzerkonto Anmeldeinformationen hält, sowie Passwörter und Strings für Anwendungen und Online-Dienste verwendet. Neuere Versionen enthalten die Möglichkeit, sensible Daten zu speichern als auch einschließlich: Zahlungskartendaten, Banking-PIN und andere Anmeldeinformationen.
Die begleitende Schlüsselbund Komponente ist die Passwort-Management-Software, die die Schlüsselanhänger-Komponenten behandelt, indem die Berechtigungsnachweise Eingabe Automatisierung. Die Beschreibung, die den CVE-2017-7149 Sicherheitshinweis begleitet liest die folgende:
Wenn ein Hinweis auf Disk Utility eingestellt wurde, als die Schaffung eines APFS verschlüsselte Volumen, das Passwort wurde als Hinweis gespeichert. Dies wurde durch das Löschen Hinweis Speicher adressiert, wenn der Hinweis das Passwort war, und durch eine Verbesserung der Logik für die Speicherung von Hinweisen
Es wird empfohlen, dass alle Mac OS X-Benutzer das Update sofort anwenden, sich zu schützen vor Missbrauch.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: