Apple ha rilasciato un aggiornamento di emergenza che risolto un bug critico che colpisce il sistema operativo High Sierra, in particolare nel sistema di gestione dei volumi APF. . Secondo i rapporti di sicurezza e l'azienda un bug ha permesso le password per essere rivelato tramite la funzione della password suggerimento.
High Sierra password Bug di Emergency patch corregge di Apple (CVE-2017-7149)
Il bug viene monitorato nel advisory di sicurezza CVE-2017-7149 e dispone di una grave vulnerabilità nel modo in cui il nuovo file system APF è implementato. Il problema si trova sul modo in cui il suggerimento per la password viene gestita. Una volta configurato dall'utente la password stessa è memorizzata come una stringa di testo normale.
La scoperta è stata fatta da Matheus Mariano, un ricercatore di sicurezza mentre stava interagendo con un nuovo volume criptato in un contenitore APF. Ha scelto di creare una password insieme con il suggerimento. Quando il nuovo contenitore è stato montato e la richiesta di password attivato, la password è stata rivelata nel campo suggerimento. Nel corso dell'inchiesta è stato rivelato che il problema riguarda solo i computer Mac e laptop equipaggiati con dischi SSD.
La patch rilasciata risolve un altro problema con il sistema operativo di Apple, nonché. Recentemente High Sierra è stato influenzato da una vulnerabilità che ha permesso le password in chiaro per essere scaricato dal portachiavi. Si sospetta che il problema esiste anche nelle versioni precedenti, come El Capitan e la Sierra. I ricercatori di sicurezza affermano che i problemi in mostra presentano una bassa barriera all'entrata una volta rilevato un punto di intrusione nella macchine di destinazione.
Il portachiavi di Mac OS X è uno dei più importanti componenti di sicurezza del sistema operativo ed è direttamente responsabile per il processo di autenticazione. Esso fornisce un contenitore criptato che contiene le credenziali dell'account utente del sistema, così come le password e le stringhe utilizzate per applicazioni e servizi on-line. Le versioni più recenti contengono la capacità di memorizzare i dati sensibili come pure tra cui: dati della carta di pagamento, di banking PIN e altre credenziali.
Il componente di accesso portachiavi che accompagna è il software di gestione delle password che gestisce i componenti portachiavi automatizzando l'ingresso delle credenziali. La descrizione che accompagna il testo del documento CVE-2017-7149 legge la seguente:
Se un suggerimento è stato impostato in Utility Disco durante la creazione di un volume crittografato APF, la password è stata memorizzata come il suggerimento. Questo è stato affrontato eliminando stoccaggio suggerimento se il suggerimento è stato la password, e migliorando la logica per memorizzare suggerimenti
Si raccomanda che tutti gli utenti di Mac OS X di applicare l'aggiornamento immediatamente per proteggersi dagli abusi.