Обнаружена новая «парольная» уязвимость Mac OS High Sierra  



Обнаружена новая «парольная» уязвимость Mac OS High Sierra +20


 
В актуальной версии операционной системы macOS High Sierra (10.13.2) обнаружена новая уязвимость, позволяющая кому угодно изменять настройки App Store с абсолютно любым паролем. Эта уязвимость уже вторая масштабная проблема за последние три месяца.

Провести эксплуатацию уязвимости довольно легко: зайти в системные настройки, выбрать раздел App Store, нажать на пиктограмму замка для разблокировки, ввести свое имя пользователя и любой пароль, нажать на кнопку разблокировки.



«Детали» уязвимости опубликованы на openradar'е.

Ошибка будет исправлена в macOS 10.13.3, релиз которой ожидается в скором времени. Также, по данным исследователей, баг отсутствует в системах, работающих под управлением macOS Sierra 10.12.6 и ниже.

Представители Apple никак не прокомментировали найденную ошибку. Это уже второй случай такого рода за последнее время — в ноябре 2017 года в macOS High Sierra была выявлена уязвимость, которая позволяла получить root-доступ к системе, использовав «root» в качестве логина и оставив поле ввода пароля пустым.

Новая проблема имеет схожие корни с предыдущей, что наталкивает на определенные мысли.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (35):

  1. izzholtik
    /#10612412 / +6

    Святые костыли, да что не так с этим компонентом?

    • SystemXFiles
      /#10612466

      Есть смутные подозрения, что когда вылезла проблемы с root, они просто сделали проверку на root и соответствующую обработку случая, проигнорировав более глобальную проблему с этим компонентом.

    • evnuh
      /#10612474 / +3

      Высокая Сиерра с самого начала зарекомендовала себя как эталон качественного ПО, и, похоже. ещё сможет нас удивить, патчи то прилетают почти каждую неделю :)

      • BalinTomsk
        /#10613418

        У меня приятель из мелкософта сказал, что они теперь избавляются от тестеров — типа сам девелопер должен заботится о качестве кода. Я так понимаю этот революционный подход используют таже в гугле и аппле

        • KoCMoHaBT61
          /#10613474

          Афтотесты?
          Первое, что делается в новых проектах — это клятва на томике requirements о том, что мы будем хорошими и будем писать афтотесты.

        • green_tree
          /#10614158

          мой уволенный знакомый-тестер из мелкософта рассказывал мне это ещё два года назад =)

          • BalinTomsk
            /#10615296

            Я раотаю в японской компании — у нас тестеры из Японии и Филлипин — всю душу вынут, найдут все что только можно.

    • landy
      /#10612560

      этим компонентом

      вы про Apple Dev? :)

      Лично я кляну день, когда решил обновиться до High Sierra, да еще забыв сделать слепок системы (первый раз такое)…
      Ошибок в системе «море», причем есть крайне неприятная ошибка с производительностью.

      А стиль общения поддержки как всегда — ничего не отвечать и не решать, пока проблема не всплывет в каком нибудь NYT.

      • xakepmega
        /#10612784

        обновился недавно с el capitan, т.к. телеграм постоянно вылетал, тоже жалею

    • GRIM2D
      /#10613066

      Скорее всего переписывают все с Objective-C на Swift, отсюда и такие проблемы.

  2. p00h
    /#10612452

    Решето)

  3. OKyJIucT
    /#10612472 / +2

    Это ж какой ОТК должен быть, чтобы такое пропускать?

    • gnomeby
      /#10612500 / +1

      Стандартный замыленный глаз, ничего удивительного. Случается со всеми.

      • vvzvlad
        /#10612508

        Но до High Sierra было все гораздо лучше :(

      • OKyJIucT
        /#10612510 / +3

        У меня сложилось такое впечатление, что чем опытней разработчик, тем более изощренные у него будут баги. А эти баги крайне нелепые, уровня начинающего программиста.

        • m08pvv
          /#10612988

          Они, возможно, тоже так думали.

    • achekalin
      /#10612828

      Какой-какой,

      обычный индусский ОТК
      image

  4. brestows
    /#10612650 / +2

    Но там же настроек то и нет, на любые изменения запрашивает пароль от AppleID. Есть какой-то реальный риск данной уязвимости?

  5. rammst71
    /#10612806

    Этой уязвимости и в 10.13.1 нет, судя по всему. Появилась только в 10.13.2

  6. Stawros
    /#10612866 / +2

    Напомнило

    • SchmeL
      /#10613132

      А при логине в систему, вроде можно было «отмена» нажать и войти. В 98 Win

    • OKyJIucT
      /#10613294 / +1

      А мне ваша гифка напомнила историю с Баша

      История
      X: да что старпер может смыслить в современных технологиях
      У: Не скажи. Я несколько лет назад в офисе Мегафона на Новослободской наблюдал:
      Х: знаю этот офис
      У: Там получаешь бумажку с номером очереди и ждешь, когда на табло появится. И стоит комп — монитор и мышка. На нем — локальная копия мегафоновского сайта без меню и правой кнопки. Клавы, естественно, нет — только мышь.
      Х: ага типа полезная информация
      У: Ты слушай. К этому гробику прибился скучающий мужичок лет 40. Через 10 минут возюканья мышой на экране появился запрос на открытие файла (не заметил, каким образом), еще через пару минут были открыты блокнот с каким-то бредом, калькулятор и CMD. Мужик уже начал по одной букве копировать из блокнота в окошко «какой программой открывать?» E X P L O
      У: Тут подбежал с перекошенным лицом какой-то местный и с криком «Что вы делаете?!» грубо вырубил комп.
      У: ты смог бы найти в хтмл за 10 минут дыру и практически суметь ей воспользоваться? Напоминаю, без меню броузера и только левой кнопкой мыши?

  7. taxodima
    /#10613420

    Из личного опыта — обновился до последней версии пару месяцев назад и упали драйвера от гитарного процессора Line 6 POD HD-500, подключаемого по USB. С тех пор вышло несколько обновлений, но ни одно из них не решило проблему.

    Складывается ощущение, что старые тенденции MacOS еще актуальны: Вышло что-то новое, не обновляйся, лучше останься на старом

    • KoCMoHaBT61
      /#10613484

      POD X3 не упал

      • taxodima
        /#10613510

        Я переустановил MacOS с нуля. Установилась самая последняя версия ОС. После этого, как я ни пытался, установка драйверов на гитарный процессор завершается неудачей. И установка напрямую руками, и через Line 6 Monkey — все равно драйвер не устанавливается. Возможно, не хватает какого-то элемента окружения, но система об этом молчит

        • KoCMoHaBT61
          /#10614172

          С последним обновление macOS у меня были проблемы с ключами и сертификатами. Она несколько ключей в Key Chain пометила как expired, и не могла обновить, потому, что в /etc/hosts содержалось всякое. Из-за этого она не могла приконнектиться к gmail как к gmail… (мутновато как-то написал...)

          Попробуй на ключи посмотреть…

          А! Ещё момент! Focusrite Scarlett 2i2 отказался подключаться через хаб, но включился напрямую.

          PS: Mac Mini Late 2012

          • farcaller
            /#10614548

            А! Ещё момент! Focusrite Scarlett 2i2 отказался подключаться через хаб, но включился напрямую.

            Он привередлив по питанию, может хаб сильно странный?

            • KoCMoHaBT61
              /#10615366

              Он был на Сьерре в этот хаб воткнут, но не нашёлся. Нашёлся после переключения в корпус. Да и хаб-то — клавиатура эпловская.

        • JSolv
          /#10614392

          Если не ошибаюсь, вам после ошибки нужно зайти в System Preferences->Security & Privacy, там вы увидите, что установка драйвера заблокирована, там же можно и разрешить его установку.
          Штука крайне не очевидная, сам натыкался.

        • aamonster
          /#10614904

          Посмотрите про переустановку — там есть варианты, какую версию ставить, в зависимости от того, по какой комбинации клавиш вы входили в рекавери. Вам надо Shift-Option-Command-R.

    • druidlab
      /#10614394

      у меня line6 Helix, вроде все хорошо

  8. IGHOR
    /#10613870

    Подтверждаю, работает только с диалогом обновления.
    Все остальные диалоги, что под замком, не открываются без настоящего пароля.
    Так что не особо и уязвимость а просто баг в диалоге обновлений.

    • Makiavel
      /#10615904

      Без пароля то нет, а вы без логина попробуйте. Ну или с другим логином.

  9. Desirium
    /#10615906

    В последнее время много уязвимостей появилось.

    Скрытый текст
    Или какая-то организация начала проверку всего и вся?

  10. sopov
    /#10616708

    У меня обновление 10.13.2 завершилось с ошибкой, войти в систему было невозможно. Вылечилось так: зашел под Гостем, перезагрузился, зашел под своей учеткой и система вернулась.