一名土耳其安全研究員揭露了macOS High Sierra的一個主要漏洞。該漏洞使得攻擊者可以在沒有密碼的情況下進入計算機,並獲得強大的管理員權限。蘋果發佈了一個修補程序來修復影響幾乎所有macOS系統的漏洞。
然而,未修補的系統仍然不安全。。。
這一缺陷是由土耳其開發商萊米·奧爾漢·埃爾根(Lemi Orhan Ergan)發現的。它允許任何人只需在“身份驗證”對話框中鍵入“root”作為用戶名,就可以獲得對macOS High Sierra計算機的完全管理權限。然後,將密碼字段留空並單擊“解鎖”按鈕兩次,將授予完全管理訪問權限。
理論上講,在安裝補丁之前,如果你讓Mac無人看管,別人很容易就可以訪問你的電腦並毀掉你的電腦。例如,他們可能安裝惡意軟件,使用鑰匙鏈訪問獲取密碼,刪除或破壞你的蘋果ID,等等。
在我寫這篇文章的時候,蘋果發佈了安全更新來修補這個問題。蘋果安全內容更新聲明稱“在驗證憑證時存在邏輯錯誤。通過改進的憑據驗證解決了這一問題。”
Mac應用商店已經提供了修復程序。此外,從11月29日(星期三)起,該更新將自動應用於運行Sierra10.13.1的Mac電腦。蘋果公司對此進行了進一步的闡述,並發表了以下聲明:
“安全是每個蘋果產品的重中之重,遺憾的是,我們在發佈macOS時遇到了挫折。
“當我們的安全工程師週二下午意識到這個問題後,我們立即開始著手進行更新,以關閉安全漏洞。今天早上8點,更新可以下載,從今天晚些時候開始,它將自動安裝在所有運行最新版本(10.13.1)macOS High Sierra的系統上。
“對於這個錯誤,我們深表遺憾,我們向所有Mac用戶道歉,無論是發佈這個漏洞還是引起的關注。我們的客戶應該得到更好的服務。我們正在審核我們的開發過程,以幫助防止這種情況再次發生。”
不幸的是,這個問題已經浮出水面,但沒有得到任何行動。蘋果支持論壇的一名成員在兩週前發佈了該漏洞的確切細節。最初的帖子和回覆似乎將主要的bug視為一個潛在的故障排除功能,而不是一個嚴重的安全威脅。
首先要做的是檢查系統更新。蘋果計劃在過去24小時內的某個時候推出自動補丁更新。如果自動更新還沒有出現,你應該去Mac應用商店搜索更新。或者,單擊此鏈接。
下載更新後,請立即安裝。
如果由於某種原因無法安裝更新,請先關閉並打開系統,然後重試。蘋果已經實現了這一過程的自動化。
否則,請同時按照以下步驟保護系統:
然而,這只是權宜之計。請嘗試安裝官方更新。
當蘋果公司修補漏洞時,目光轉向了萊米·奧爾罕·埃爾根。這位自稱“軟件工匠”的人因為沒有遵守負責任的披露準則而受到批評。負責任的披露要求安全研究人員告知公司安全威脅,以便有時間修復缺陷。在缺陷被修復之後,研究人員就可以向公眾展示他們的發現了。
當然,這個系統並不總是像預期的那樣工作。公司沒有迴應,安全研究人員變得不耐煩。在這些情況下,**一個公共問題迫使公司出手,迫使他們修復安全威脅。
在收到大量批評後,爾根在媒體上發表了反擊。他解釋說,他“既不是黑客,也不是安全專家,”接著說,“我只專注於編程時的安全編碼實踐,但我永遠不能稱自己為安全專家。”
公平地說,這個bug是在蘋果支持論壇上討論的。此外,Ergan聲稱,他在支付公司Iyzico的同事在11月23日披露了對蘋果的威脅,但從未得到迴應。
從源頭,到公司。蘋果有沒有讓這一條漏網之魚?一句話,是的:尤其是如果他們意識到了Ergan所說的錯誤。不幸的是,我們不知道真相,因此無法對形勢作出可靠的評估。
即使經歷了一年來的第二次強制更新(仍然是有史以來的第二次強制安全更新),蘋果也不必擔心。macOS和iOS惡意軟件的實例正在上升,但Windows和Android仍然是主要目標。此外,蘋果在大部分方面都有著出色的安全記錄,這可以從他們迅速有效地發佈更新以平息日益增長的威脅中得到證明。
你是否受到蘋果安全漏洞的影響?或者更新來得足夠快,讓你不再擔心了?下面讓我們知道你的想法!
... 例如,您不必使用Mac應用商店來安裝作業系統更新。蘋果的桌面店面只在更新你係統的其他部分時才會這麼做。 ...
... 但它也伴隨著許多風險——不僅僅是安全風險,還有對你個人隱私的威脅。你可能沒有意識到,但是任何連線到網際網路的裝置都有可能被駭客入侵。 ...
雖然蘋果的電腦硬體持續了很長一段時間,但總有一天你還是要和你的Mac說再見。如果你的電腦出了問題,你可能想知道什麼時候買一臺新的MacBook,或者你是否應該在現在的MacBook上多呆一會兒。 ...
... 通常,一個合法的開發者可能沒有錢在蘋果註冊。當這種情況發生時,你可以繞過這個警告,但重要的是要確保你這樣做時信任這個應用程式。 ...
...種方法各有利弊。專有的桌面作業系統,如微軟Windows、蘋果macOS和谷歌Chrome作業系統,都採取了集中化的方式。GNU/Linux有一個分散的模型。 ...
...個人**的推出速度特別快,尤其是黑莓Priv和Windows Phone。蘋果也對iOS中的漏洞做出了快速反應。 ...
...如重置NVRAM或引導在安全模式下也未能解決問題。 此後,蘋果釋出了一份針對受影響使用者的支援檔案,如果問題得不到解決,該檔案還邀請客戶與蘋果支援部門聯絡。 Big Sur早期採用者還報告了一系列其他問題,包括Apple Watch S...
macOS Big-Sur是蘋果桌面作業系統的最新版本。它將於2020年11月12日作為免費升級版提供給Mac使用者。有了這個版本,一些執行Catalina的mac就落後了,無法升級。 哪些mac機型與big-sur相容? 隨著MacOS11.0BigSur的釋出,蘋果正在取消對...
...lay安全更新就是其中之一,但它們不同於每月釋出的安全補丁。 什麼是googleplay系統更新(a google play system update)? googleplay系統更新是在android10(最初稱為projectmainline)中引入的。所有android10或更新的裝置都必須包含googleplay系...