A Apple lançou uma atualização de emergência que corrigia um bug crítico que afetava o sistema operacional High Sierra, especificamente no sistema de gerenciamento de volume APFS. . De acordo com relatórios de segurança e a empresa, um bug permitia que as senhas fossem reveladas por meio do recurso de dica de senha.
Patch de emergência corrige bug do High Sierra Password da Apple (CVE-2017-7149)
O bug é rastreado no comunicado de segurança CVE-2017-7149 e apresenta uma vulnerabilidade grave na forma como o novo sistema de arquivos APFS é implementado. O problema é encontrado na forma como a dica de senha é tratada. Uma vez configurada pelo usuário, a própria senha é armazenada como uma string de texto simples.
A descoberta foi feita por Matheus Mariano, um pesquisador de segurança enquanto ele estava interagindo com um novo volume criptografado em um contêiner APFS. Ele optou por criar uma senha junto com a dica. Quando o novo contêiner foi montado e o prompt de senha ativado, a senha foi revelada no campo de dica. Durante a investigação, foi revelado que o problema afeta apenas computadores Mac e laptops equipados com unidades SSD.
O patch lançado resolve outro problema com o sistema operacional da Apple também. Recentemente, o High Sierra foi afetado por uma vulnerabilidade que permitia que as senhas de texto simples fossem despejadas das chaves. Suspeita-se que o problema também exista em versões anteriores como El Capitan e Sierra. Os pesquisadores de segurança afirmam que os problemas apresentados apresentam uma barreira baixa para a entrada, uma vez que um ponto de intrusão é detectado nas máquinas alvo.
As chaves do Mac OS X são um dos componentes de segurança mais importantes do sistema operacional e são diretamente responsáveis pelo processo de autenticação. Ele fornece um contêiner criptografado que contém as credenciais da conta do usuário do sistema, bem como senhas e strings usadas para aplicativos e serviços online. As versões recentes contêm a capacidade de armazenar dados confidenciais, incluindo: dados do cartão de pagamento, PINs bancários e outras credenciais.
O componente de acesso de keychain que acompanha é o software de gerenciamento de senha que lida com os componentes de keychain, automatizando a entrada de credenciais. A descrição que acompanha o comunicado de segurança CVE-2017-7149 é o seguinte:
Se uma dica foi definida no Utilitário de Disco ao criar um volume criptografado APFS, a senha foi armazenada como a dica. Isso foi resolvido limpando o armazenamento de dicas se a dica fosse a senha, e melhorando a lógica para armazenar dicas
Recomenda-se que todos os usuários do Mac OS X apliquem a atualização imediatamente para se protegerem de abusos.
Martin Beltov
Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.
Me siga: