Новый macOS Security Bug разблокирует App Store с любым паролем

Новый macOS Security Bug разблокирует App Store с любым паролем

Вернувшись в конце ноября, Apple вынуждена была вытащить патч для аварийной безопасности после известий о серьезном недостатке безопасности в macOS High Sierra. Эта ошибка позволила пользователям войти в систему, набрав «root» для входа в систему, а затем несколько раз подряд введите попытку входа в систему. Теперь есть новая ошибка; это не такой большой риск, как этот, но это все еще значительная проблема.

Ошибка, по-видимому, ограничена High Sierra (Sierra не затрагивается), и она была проверена Macrumors как существующая в 10.13.2, последней версии операционной системы. Macrumors заявляет, что не может воспроизвести ошибку в бета-версиях macOS 10.13.3, предполагая, что она будет исправлена ​​в предстоящей версии. Тем не менее, он пока остается активным.

Воспроизведение ошибки довольно просто и включает в себя следующие шаги, изложенные eholtam, которые обнаружили ошибку:

1) Войдите в систему как локальный admin2) Откройте панель предварительного просмотра App Store из системных настроек3) Заблокируйте замок, если он уже разблокирован4) Нажмите блокировку, чтобы разблокировать ее5) Введите любой фиктивный пароль

Ожидаемое поведение, очевидно, заключается в том, что попытка входа в систему завершится неудачно. Фактическое поведение заключается в том, что попытка входа и разблокировки работает отлично. Ошибка работает, только когда вы вошли в административную учетную запись, но это еще один пример того, как Apple, похоже, сбросила мяч, правильно установив правила пользователя и разрешения. Хотя это не так рискованно, как предыдущая ошибка входа в систему, Apple явно не выполняла некоторые проверки должной осмотрительности, в которой она должна была участвовать. Возможность изменения предпочтений в App Store позволяет изменять расписания обновлений приложений, системных обновлений и обновления безопасности. Перевернув эти настройки, можно использовать в сочетании с другой атакой, чтобы гарантировать, что система не была исправлена, чтобы закрыть отверстие безопасности, хотя требуется локальный доступ или, по крайней мере, доступ администратора с удаленного места.

Оптика ситуации хуже, учитывая, что Apple специально заявила, что пересмотрит свою практику, чтобы предотвратить повторение. Еще в конце ноября компания написала: «Мы очень сожалеем об этой ошибке, и мы приносим свои извинения всем пользователям Mac, как за освобождение от этой уязвимости, так и за ее вызывающую озабоченность. Наши клиенты заслуживают лучшего. Мы проверяем наши процессы разработки, чтобы предотвратить это снова ».

Очевидно, что аудит еще не завершен. В этом вопросе не существует обходного пути, поэтому единственным реальным вариантом является ожидание того, что Apple предоставит решение.

Читать далее

Apple преувеличивает срок службы батареи в режиме ожидания MacBook, отчет владельцев

Пользователи MacBook и MacBook Pro Apple недовольны резервным временем автономной работы своей системы, но Apple не заинтересована в ее прослушивании.

Apple готовит новые сопроцессоры, компьютеры Mac, iPad в этом году

Apple уже тяжело работает над новым набором чипов и аппаратного обеспечения в этом году, но Meltdown и Spectre могут иметь последствия далеко за пределами Intel.

Khronos приносит Vulkan в macOS, iOS, после того, как Apple отказывается от

Apple не проявила интереса к поддержке Vulkan за последние несколько лет, поэтому Khronos добавляет поддержку, нравится Apple или нет.

Клиенты Mac Pro, отчаянные для обновления, обновляют 6-летнее оборудование

Пользователи Mac Pro пытаются обновить все возможности, но покупка шестилетнего форм-фактора - это плохой способ сделать это.