Нова помилка безпеки MacOS відкриває App Store з будь-яким паролем

Нова помилка безпеки MacOS відкриває App Store з будь-яким паролем

Назад у кінці кінця листопада, Apple довелося вийти з надзвичайної безпеки патч після новини про серйозні недоліки безпеки, що з'явилися в MacOS High Sierra. Ця помилка дозволила користувачам входити в систему, набравши "root" для входу в систему, після чого кілька разів поспіль ввела для спроби входу. Тепер є нова помилка; це не такий ризик, як і той, але це все ще є серйозною проблемою.

Помилка обмежена High Sierra (Sierra не зазнала впливу), і була підтверджена Macrumors, як це передбачено в 10.13.2, останній версії операційної системи. Macrumors стверджує, що він не може відтворити помилку в бета-версіях macOS 10.13.3, що передбачає, що він буде виправлений в майбутньому випуску. Тим не менш, він залишається активним поки що.

Відтворення помилки є досить простим і передбачає наступні кроки, як виклав Ехолтем, який виявив помилку:

1) Увійдіть як місцевий адміністратор2) Відкрийте панель Pref в розділі «Параметри системи» 3) Зафіксуйте замок, якщо він вже розблоковано4) Натисніть замок, щоб розблокувати його5) Введіть будь-який фальшивий пароль

Очікувана поведінка, очевидно, полягає в тому, що спроба входу в систему не буде виконана. Фактична поведінка полягає в тому, що спроба входу в систему і розблокування працюють відмінно. Ця помилка працює лише тоді, коли ви ввійшли в адміністративну обліковий запис, але це ще один приклад того, як Apple, схоже, скинув м'яч належним чином встановлюючи правила та дозволи користувачів. Хоча це не менш ризиковано, ніж попередня помилка входу, Apple явно не виконувала деяких тестів для належної обачності, яким вона була потрібна. Можливість змінювати налаштування в App Store дозволяє вам змінювати графіки для оновлень програм, оновлень системи та оновлення безпеки. Перемикання цих налаштувань може використовуватися в поєднанні з іншою атакою, щоб система не була виправлена, щоб закрити отвори для безпеки, хоча потрібен локальний доступ або, принаймні, доступ адміністратора з віддаленого місця.

Оптика ситуації є гіршою, враховуючи те, що Apple спеціально заявила, що буде переглянути свою практику, щоб запобігти повторному повторюванню. Ще в кінці листопада компанія написала: "Ми дуже шкодуємо про цю помилку, і ми приносимо вибачення всім користувачам Mac, як для випуску з цієї вразливості, так і за стурбованість, яку вона викликала. Наші клієнти заслуговують на краще. Ми ревізіруємо наші процеси розробки, щоб запобігти цьому. "

Очевидно, що аудит ще не закінчився. Не існує нинішнього рішення цієї проблеми, тому єдиним реальним варіантом є очікування того, що компанія Apple надає рішення.

Читати далі

Як спостерігати сьогодні повне сонячне затемнення з будь-якого місця
Як спостерігати сьогодні повне сонячне затемнення з будь-якого місця

Незважаючи на те, що COVID-19 та пов'язані з ним обмеження обмежено відвідують сьогоднішнє повне сонячне затемнення Чилі та Аргентини для місцевих жителів та кількох безстрашних мандрівників, ви можете переглянути відео проходження Місяця через обличчя Сонця за кількома живими каналами.

CD Projekt Red заперечує будь-які плани щодо повернення коштів за Кіберпанк 2077
CD Projekt Red заперечує будь-які плани щодо повернення коштів за Кіберпанк 2077

Виявляється, CD Projekt Red насправді не означав для вас думки, що ви можете отримати повернення за Cyberpunk 2077.

Windows 11 не може працювати на ранньому Ryzen, Threatripper, Skylake-X або будь-якому перед-2016 Intel PC
Windows 11 не може працювати на ранньому Ryzen, Threatripper, Skylake-X або будь-якому перед-2016 Intel PC

Якщо новітня документація Microsoft є правдою, величезна кількість поточних ПК не буде мати право оновлення до Windows 11. Ми сподіваємося на роз'яснення цих пунктів дуже скоро.

Аналіз показує Alexa Alexa, який збирає більше даних, ніж будь-який інший смарт-помічник
Аналіз показує Alexa Alexa, який збирає більше даних, ніж будь-який інший смарт-помічник

Якщо ви адамантом про покупку розумного помічника, Alexa може бути не найкращим варіантом. Нова порівняння конфіденційності ставки комерційних гігантських пристроїв мертвих.