Apple heeft een noodsituatie update die een kritieke bug die de High Sierra besturingssysteem vast, met name in de APFS volume management systeem. . Volgens de veiligheid rapporten en het bedrijf een bug konden de wachtwoorden worden onthuld via het wachtwoord hint functie.
Emergency patch repareert Apple's High Sierra Password Bug (CVE-2017-7149)
De bug wordt bijgehouden in de CVE-2017-7149 beveiligingsadvies en beschikt over een ernstige kwetsbaarheid in de manier waarop de nieuwe APFS bestandssysteem wordt geïmplementeerd. Het probleem is te vinden op de manier waarop het wachtwoord hint wordt behandeld. Als het eenmaal is geconfigureerd door de gebruiker het wachtwoord zelf wordt opgeslagen als een gewone tekenreeks.
De ontdekking werd gedaan door Matheus Mariano, een security-onderzoeker terwijl hij interactie met een nieuwe gecodeerde volume in een APFS container. Hij koos om een wachtwoord samen met de hint te creëren. Wanneer de nieuwe container werd gemonteerd en het wachtwoord wordt gevraagd geactiveerd, het wachtwoord werd geopenbaard in het veld hint. Tijdens het onderzoek is gebleken dat het probleem alleen van invloed op Mac-computers en laptops uitgerust met een SSD drives.
De vrijgegeven patch lost een ander probleem met Apple's besturingssysteem ook. Onlangs High Sierra werd beïnvloed door een zwakke plek waardoor plaintext wachtwoorden te storten van de sleutelhanger. Vermoed wordt dat het probleem bestaat ook in eerdere versies zoals El Capitan en Sierra. De security onderzoekers stellen dat de tentoongesteld problemen geven een lage toetredingsdrempel eens een inbraak punt wordt gedetecteerd in doelmachines.
De Mac OS X sleutelhanger is een van de belangrijkste security componenten in het besturingssysteem en is direct verantwoordelijk voor de authenticatie. Het biedt een versleutelde container dat het systeem gebruikersaccountreferenties houdt, evenals wachtwoorden en strings gebruikt voor toepassingen en online services. Recente versies bevatten de mogelijkheid om gevoelige gegevens, alsmede met inbegrip van het opslaan: betaalkaartgegevens, banking PIN's en andere referenties.
De begeleidende toegang keychain component is het wachtwoord management software die de sleutelhanger componenten verwerkt door het automatiseren van de geloofsbrieven ingang. De beschrijving die de CVE-2017-7149 beveiligingsadvies begeleidt leest de volgende:
Als een hint werd in Schijfhulpprogramma bij het maken van een APFS versleuteld volume, het wachtwoord is opgeslagen als de hint. Dit werd aangepakt door het opruimen hint opslag als de hint vergeten was, en door de logica voor het opslaan van aanwijzingen
Het wordt aanbevolen dat alle Mac OS X-gebruikers de update onmiddellijk toe te passen om zichzelf te beschermen tegen misbruik.