Apple on äskettäin julkaissut erittäin tärkeän täydentävän päivityksen kaikille Mac-käyttäjille, jotka ovat asentaneet macOS Korkea Sierra 10.13.
In macOS High Sierra 10.13 -lisäpäivitys ratkaista jotkut graafiset toimintahäiriöt Adobe InDesignille ja vika joka ei sallinut Poista Yahoo Mail -sovelluksessa vastaanotetut viestit.
Tämän lisäpäivityksen vakavin osa liittyy kaksi turvallisuuskysymystä, joka tuli "mukana" uuden High Sierra -käyttöjärjestelmän kanssa.
APFS: n (salattu) salasanasalauksen haavoittuvuus - Levytyökaluvika
Sovelluksessa on vika levy Utility se tekee näkyvä salasana muotoillut levytilavuudet APFS salattu.
Lyhyesti sanottuna, kun syötämme taltiolle salatun salasanan, se vaaditaan kahdesti, jotta emme kirjoittaneet sitä väärin ensimmäistä kertaa. Sitten meidän on valittavavihje”(Sana tai lause) vihjeeksi salasanaan. Virhe sisään levy Utility, tekee salasanan näkyväksi "vihjeestä" tulevan sanan tai lauseen sijaan. Tällä tavalla se on alttiina kaikille, joilla on pääsy Maciin.
Twitterissä näkyvä video näyttää täsmällisesti, kuinka löytää APFS-salattu äänenvoimakkuussalasana käyttämällä Levytyökalua.
Olisi mielenkiintoista miksi Apple suosittelee poistamista, kun diskutil voi tyhjentää vihjeet:
diskfiled apfs setPassphraseHint [diskXsX] -user disk -clear pic.twitter.com/0khrm8aTq9- Felix Schwarz (@felix_schwarz) Lokakuu 5, 2017
alttius Keychain Pääsy - ohita käyttäjän salasana
Tavallisesti ja pakotettavasti, kun menet tili ja salasana tallennettu Keychain, vaaditaan Mac-käyttäjän salasana. Haavoittuvuuden kautta a macOS High Sierra, huono-tarkoituksellinen sovellus voi pura sisään tallennetut salasanat Keychain Pääsy, ohitetaan käyttäjän salasana Mac synteettisen napsautuksen avulla. Väärä / simuloitu.
Julkaistu lokakuu 5, 2017
Storagepakki
Saatavana: macOS Korkea Sierra 10.13
Vaikutus: Paikallinen hyökkääjä voi päästä käsiksi salattuun APFS-tilaan
Kuvaus: Jos Levytyökalussa asetettiin vihje salattua taltion APFS:ää luotaessa, salasana tallennettiin vihjeeksi. Tämä korjattiin tyhjentävällä vihjeellä storage jos vihje oli salasana, ja parantamalla vihjeiden tallentamisen logiikkaa.
CVE-2017-7149: Matheus Mariano Leet Techista
Security
Saatavana: macOS Korkea Sierra 10.13
Vaikutus: Haitallinen sovellus voi purkaa keychain salasanat
Kuvaus: Sovelluksille oli olemassa menetelmä ohittaa keychain pääsykehote synteettisellä napsautuksella. Tämä on korjattu vaatimalla käyttäjän salasanaa pyydettäessä keychain pääsy.
CVE-2017-7150: Patrick Wardle Synackista
Uudet ladattavat tiedostot macOS High Sierra 10.13 sisältää security sisältö macOS High Sierra 10.13 -lisäpäivitys.
Joten jos sinulla on macOS High Sierra 10.13, on erittäin suositeltavaa tehdä lisäpäivitys. Se on saatavilla kautta Mac App Store, välilehdessä "Päivitykset"(Ja ei muuta versionumeroa). Apple on jo julkaissut macOS Korkea Sierra 10.13.1 kehittäjille, joilla on laitteita Apple Beta Software Program.
0 ajatusta aiheesta "Turvallisuusongelmat APFS Encrypted and Keychain Pääsy, ratkaistu kanssa macOS High Sierra 10.13 -lisäpäivitys"