Apple udostępnia łatę na poważną lukę w bezpieczeństwie macOS High Sierra

Wczoraj wieczorem odkryta została bardzo poważna luka w bezpieczeństwie systemu macOS High Sierra, pozwalająca na przejęcie kontroli poprzez dostęp do konta root. Apple właśnie udostępniło aktualizację rozwiązującą ten problem.

Przypomnieć warto, że luka ta pozwalała na zmianę wszystkich ustawień systemowych bez podawania hasła administratora. W oknie logowania, które pojawia się przy próbie odblokowania ustawień systemowych, wystarczyło wprowadzić dwukrotnie nazwę użytkownika „root”, bez podawania żadnego hasła.

Reakcja firmy na ten bardzo poważny błąd była bardzo szybka. Odpowiednia aktualizacja bezpieczeństwa systemu macOS High Sierra dostępna już jest w Mac App Store w dziale „aktualizacje”.

Komentarze 20

tomasz sz. 2017-11-29

Bardzo szybka... Tylko 2 tygodnie, kiedy to problem został opisany na forum dev Apple. Wczoraj stał się medialny i szambo wybiło.

kalchas tomasz sz. 2017-11-29

Ale jest okazja żeby pochwalić Apple i pozachwycać się tą firmą, czego nie omieszkają zrobić "bezinteresowni" redaktorzy myApple. Amazing!

ein 2017-11-29

Krystian, od 2 tyg wiadomo Apple o luce. Wczoraj osoba, która problem wcześniej zgłosiła i opisała, postanowiła rzecz upublicznić, bo wiadomo kto nie kwapił się by rzecz załatać. Mieli czas na zrobienie po cichu, wybrali inną, kosztowniejszą wizerunkowo drogę.

Zawsze w takich sytuacjach, reakcja to parę godzi do maks. doby. Kiedy problem wypłynie medialnie. Inaczej firma ma to w d*pie.

Mikolaj ein 2017-11-29

No niezupełnie. 2 tygodnie temu ten problem został opisany PUBLICZNIE w odpowiedzi na pytanie zadane na forum Apple. Ale nie został opisany jako problem, tylko jako rozwiązanie kłopotu osoby, która zadała pytanie. Najpewniej nikt z Apple (a przynajmniej nikt, komu by się zapaliła czerwona lampka) nie czyta tego forum. Dopiero, jak w trakcie dyskusji między użytkownikami forum stało się jasne, o co chodzi, kula śniegowa w końcu walnęła w łeb kogoś w Apple, ale było już za późno.

ein Mikolaj 2017-11-29

Na AppleInsider jest wątek o tym i jednak zostało to zgłoszone gdzie trzeba (poszła info do osób odpowiedzialnych za bezp.) Tło było takie jak mówisz, człowiek mocno się zdziwił że może w ten sposób ominąć wszelkie zabezpieczenia i uzyskać pełen akces do komputera. Apple zwyczajnie nie ma obecnie działu QA z prawdziwego zdarzenia, co gorsza podczas prac nikt nie weryfikuje takich rzeczy (przecież to nie wymaga jakiś kosmicznych stress testów, to są rzeczy sprawdzane na podstawowym poziomie). To luka na poziomie krytycznym, do tego - aż wstyd przyznać - tak banalna, tak żenująca, że w ogóle nie ma o czym mówić. Można natomiast postawić parę podstawowych pytań dotyczących tego, jak obecnie tworzy się w Apple oprogramowanie. Odpowiedzi byłyby - obawiam się - miażdżące dla firmy.

Taki babol na poziomie GUI, to jak wspominałem, efekt niebywałego wręcz pośpiechu (przy tworzeniu kodu - zrobili sobie full access podczas prac) połączony z zerowym poziomem weryfikacji podstawowych kwestii bezpieczeństwa software. Przy tym te wszystkie liczne błędy z jakimi zmagają się użytkownicy iOS11 oraz macOS 10.13 to betka. Po czymś takim każdy rozsądny admin wycofuje flotę makówek, robi downgrade i ma -10 odnośnie poziomu zaufania do obecnego teamu oprogramowania Apple.

Coś czuję, że to (niestety) dopiero początek i takie kwiatki będą na porządku dziennym...

Szaman35 2017-11-29

"Przypomnieć warto, że luka ta pozwalała na zmianę wszystkich ustawień systemowych bez podawania hasła administratora."

To jest zbyt ładnie powiedziane. Dziura umożliwiała przejęcie komputera po prostu wraz ze wszystkimi danymi.

@rturo 2017-11-29

Przy zainstalowanym 10.13.2 Beta 5 łata się nie pojawia w AppStore. Mam nadzieję, że jest już zaimplementowana w tej wersji...

Zobacz wszystkie 5 odpowiedzi Ukryj odpowiedzi

czlowiekmpp @rturo 2017-11-29

Właśnie u mnie tak samo , nie mam jej :-) i już się zastanawiałem czemu to ja zostałem wybrańcem :P

woocash @rturo 2017-11-29

Nie jest zaimplementowana :( Musisz ręcznie zmienić hasło roota

Jaromir Kopp @rturo 2017-11-29

A sprawdzić sam nie możesz? Samemu też bardzo łatwo ją załatać.

Jak ktoś mail włączone konto roota samodzielnie to problem też go nie dotyczy.

Janusz MB Jaromir Kopp 2017-11-29

Konto root na maku nawet zaawansowanemu użytkownikowi nigdy nie było potrzebne. Zawsze było "fabrycznie" nieaktywne i poza naprawdę wyszukanymi przypadkami nie było konieczności żeby go aktywować i zmieniać mu hasło.

To Apple zrobiło niespodziewajkę i aktywowało coś, co nigdy aktywne nie było ani nigdy w przyszłości aktywne być nie miało. Jak już ktoś się miał zabezpieczać, to bardziej sensowne było zabezpieczenie się polisą od upadku meteorytu na Mokotowie niż branie się za aktywowanie i zmianę konta root w systemie Apple.

tomason121 @rturo 2017-11-30

Też mam Betę, i problem jak był tak jest. Żadna nowa aktualizacja się nie pojawiła.

https://support.apple.com/en-us/HT208315 To confirm that your Mac has Security Update 2017-001: Open the Terminal app, which is in the Utilities folder of your Applications folder. Type what /usr/libexec/opendirectoryd and press Return. If Security Update 2017-001 was installed successfully, you will see one of these project version numbers: opendirectoryd-483.1.5 on macOS High Sierra 10.13 opendirectoryd-483.20.7 on macOS High Sierra 10.13.1

Degenerat 2017-11-29

Żenada! wpisuje w nazwie root haslo pozostawiam puste i kłódka się otwiera! Niezla wpadka apple

Ciekawe informacje dotyczące Safari w systemie iOS 18

Ghost Touch może pojawiać się również w starszych zegarkach. Apple przesłało zalecenia do serwisów

Informacje dotyczące baterii w tegorocznych iPhone'ach

Tegoroczne zegarki Apple Watch z bardziej energooszczędnymi ekranami

Apple udostępnia łatę na poważną lukę w bezpieczeństwie macOS High Sierra

Komentarze 20