Новый macOS Security Bug разблокирует App Store с любым паролем
Вернувшись в конце ноября, Apple вынуждена была вытащить патч для аварийной безопасности после известий о серьезном недостатке безопасности в macOS High Sierra. Эта ошибка позволила пользователям войти в систему, набрав «root» для входа в систему, а затем несколько раз подряд введите попытку входа в систему. Теперь есть новая ошибка; это не такой большой риск, как этот, но это все еще значительная проблема.
Ошибка, по-видимому, ограничена High Sierra (Sierra не затрагивается), и она была проверена Macrumors как существующая в 10.13.2, последней версии операционной системы. Macrumors заявляет, что не может воспроизвести ошибку в бета-версиях macOS 10.13.3, предполагая, что она будет исправлена в предстоящей версии. Тем не менее, он пока остается активным.
Воспроизведение ошибки довольно просто и включает в себя следующие шаги, изложенные eholtam, которые обнаружили ошибку:
1) Войдите в систему как локальный admin2) Откройте панель предварительного просмотра App Store из системных настроек3) Заблокируйте замок, если он уже разблокирован4) Нажмите блокировку, чтобы разблокировать ее5) Введите любой фиктивный пароль
Ожидаемое поведение, очевидно, заключается в том, что попытка входа в систему завершится неудачно. Фактическое поведение заключается в том, что попытка входа и разблокировки работает отлично. Ошибка работает, только когда вы вошли в административную учетную запись, но это еще один пример того, как Apple, похоже, сбросила мяч, правильно установив правила пользователя и разрешения. Хотя это не так рискованно, как предыдущая ошибка входа в систему, Apple явно не выполняла некоторые проверки должной осмотрительности, в которой она должна была участвовать. Возможность изменения предпочтений в App Store позволяет изменять расписания обновлений приложений, системных обновлений и обновления безопасности. Перевернув эти настройки, можно использовать в сочетании с другой атакой, чтобы гарантировать, что система не была исправлена, чтобы закрыть отверстие безопасности, хотя требуется локальный доступ или, по крайней мере, доступ администратора с удаленного места.
Оптика ситуации хуже, учитывая, что Apple специально заявила, что пересмотрит свою практику, чтобы предотвратить повторение. Еще в конце ноября компания написала: «Мы очень сожалеем об этой ошибке, и мы приносим свои извинения всем пользователям Mac, как за освобождение от этой уязвимости, так и за ее вызывающую озабоченность. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить это снова ».
Очевидно, что аудит еще не завершен. В этом вопросе не существует обходного пути, поэтому единственным реальным вариантом является ожидание того, что Apple предоставит решение.
Читать далее
CD Projekt Red отрицает любые планы по возврату денег за Cyberpunk 2077
Оказывается, CD Projekt Red на самом деле не означал, что вы думаете, что можете получить возмещение за Cyberpunk 2077.
Xiaomi заявляет, что ее новый продукт может заряжать телефон из любой точки комнаты
Технология Mi Air Charge компании якобы может заряжать ваш телефон на расстоянии, даже когда он находится в вашем кармане. По крайней мере, они так утверждают - мы не знаем наверняка, потому что Mi Air Charge - это просто техническая демонстрация прямо сейчас.
Любопытство NASA Mars Rover Beams Вернуться потрясающий селфи
Блестящий новой настойчивой ровера NASA в последнее время крадет прожектор, но любопытство все еще на Марсе тоже. Этот стареющий робот все еще молодой, а достаточно бедро, чтобы взять Selfie - ад, любопытство пионерировало ревер Selfie.
Spacex Encrypts Falcon 9 Telemetry после любителей радиопер-операторов загрузки данных
Все началось несколько недель назад, когда несколько реддиторов удалось зафиксировать на телеметрии 2232,5 МГц нисходящей линии связи от верхней ступени сокола 9.