一名土耳其安全研究员揭露了macOS High Sierra的一个主要漏洞。该漏洞使得攻击者可以在没有密码的情况下进入计算机，并获得强大的管理员权限。苹果发布了一个修补程序来修复影响几乎所有macOS系统的漏洞。

然而，未修补的系统仍然不安全。。。

什么是窃听虫(the bug)？

这一缺陷是由土耳其开发商莱米·奥尔汉·埃尔根（Lemi Orhan Ergan）发现的。它允许任何人只需在“身份验证”对话框中键入“root”作为用户名，就可以获得对macOS High Sierra计算机的完全管理权限。然后，将密码字段留空并单击“解锁”按钮两次，将授予完全管理访问权限。

理论上讲，在安装补丁之前，如果你让Mac无人看管，别人很容易就可以访问你的电脑并毁掉你的电脑。例如，他们可能安装恶意软件，使用钥匙链访问获取密码，删除或破坏你的苹果ID，等等。

但是苹果已经解决了这个问题，对吗？

在我写这篇文章的时候，苹果发布了安全更新来修补这个问题。苹果安全内容更新声明称“在验证凭证时存在逻辑错误。通过改进的凭据验证解决了这一问题。”

Mac应用商店已经提供了修复程序。此外，从11月29日（星期三）起，该更新将自动应用于运行Sierra10.13.1的Mac电脑。苹果公司对此进行了进一步的阐述，并发表了以下声明：

“安全是每个苹果产品的重中之重，遗憾的是，我们在发布macOS时遇到了挫折。

“当我们的安全工程师周二下午意识到这个问题后，我们立即开始着手进行更新，以关闭安全漏洞。今天早上8点，更新可以下载，从今天晚些时候开始，它将自动安装在所有运行最新版本（10.13.1）macOS High Sierra的系统上。

“对于这个错误，我们深表遗憾，我们向所有Mac用户道歉，无论是发布这个漏洞还是引起的关注。我们的客户应该得到更好的服务。我们正在审核我们的开发过程，以帮助防止这种情况再次发生。”

但他们已经知道了？

不幸的是，这个问题已经浮出水面，但没有得到任何行动。苹果支持论坛的一名成员在两周前发布了该漏洞的确切细节。最初的帖子和回复似乎将主要的bug视为一个潜在的故障排除功能，而不是一个严重的安全威胁。

我现在该怎么办？

首先要做的是检查系统更新。苹果计划在过去24小时内的某个时候推出自动补丁更新。如果自动更新还没有出现，你应该去Mac应用商店搜索更新。或者，单击此链接。

下载更新后，请立即安装。

它不起作用

如果由于某种原因无法安装更新，请先关闭并打开系统，然后重试。苹果已经实现了这一过程的自动化。

否则，请同时按照以下步骤保护系统：

1. 打开Spotlight，搜索目录实用程序，选择相应的选项
2. 单击锁进行更改；输入管理帐户的用户名和密码
3. 转到菜单>编辑
4. 选择Enable Root User；create a password and verify

然而，这只是权宜之计。请尝试安装官方更新。

盯着源头

当苹果公司修补漏洞时，目光转向了莱米·奥尔罕·埃尔根。这位自称“软件工匠”的人因为没有遵守负责任的披露准则而受到批评。负责任的披露要求安全研究人员告知公司安全威胁，以便有时间修复缺陷。在缺陷被修复之后，研究人员就可以向公众展示他们的发现了。

当然，这个系统并不总是像预期的那样工作。公司没有回应，安全研究人员变得不耐烦。在这些情况下，**一个公共问题迫使公司出手，迫使他们修复安全威胁。

在收到大量批评后，尔根在媒体上发表了反击。他解释说，他“既不是黑客，也不是安全专家，”接着说，“我只专注于编程时的安全编码实践，但我永远不能称自己为安全专家。”

公平地说，这个bug是在苹果支持论坛上讨论的。此外，Ergan声称，他在支付公司Iyzico的同事在11月23日披露了对苹果的威胁，但从未得到回应。

眼睛盯着球

从源头，到公司。苹果有没有让这一条漏网之鱼？一句话，是的：尤其是如果他们意识到了Ergan所说的错误。不幸的是，我们不知道真相，因此无法对形势作出可靠的评估。

即使经历了一年来的第二次强制更新（仍然是有史以来的第二次强制安全更新），苹果也不必担心。macOS和iOS恶意软件的实例正在上升，但Windows和Android仍然是主要目标。此外，苹果在大部分方面都有着出色的安全记录，这可以从他们迅速有效地发布更新以平息日益增长的威胁中得到证明。

你是否受到苹果安全漏洞的影响？或者更新来得足够快，让你不再担心了？下面让我们知道你的想法！