macOS High Sierra漏洞,可輕易取得管理員權限
最新版macOS作業系統High Sierra爆有重大安全漏洞,讓有心人士只要幾個簡單步驟即可以取得系統管理權限,在無需輸入密碼下登入系統。
一名使用者周二透過推特宣稱發現macOS High Sierra這項漏洞,他甚至公開了相關的詳細步驟,只要在「偏好設定」中的「使用者&群組」中點入鎖頭,再按下「解鎖」鍵就能建立根帳號,完全無需輸入密碼,並表示只要試幾次就會成功。
有些媒體如法炮製並未成功,但Apple Insider即成功複製了網友提供的作法。而只要取得系統管理員帳號權限,就可以做任何事,像是讀取所有檔案,編輯同台電腦其他用戶帳密,或是修改設定等。
這項漏洞影響所有版本的High Sierra,包括最新版的Beta 5。該版本並不影響之前版本包括Sierra及更早之前的macOS。所幸有心人士要利用這項漏洞,必須趁用戶本人不在,親自操縱這台macOS電腦才做得到。
目前並不清楚蘋果是否獲得預先通知,但從網友在推特上問蘋果是否知道此事來看,顯然該公司事前並不知情。
蘋果目前尚未對此回應。不論蘋果何時解決這項問題,在此之前的自保之道是儘速設定根帳號密碼。到「使用者&群組」中的「登入選項」-「加入」-「打開目錄工具程式」中的「編輯」,開啟根用戶帳號,再選擇「變更根密碼」。
Mac作業系統重大資安漏洞 蘋果忙補破網
蘋果公司不久前才推出的最新Mac作業系統HighSierra驚爆重大資安漏洞,有心人士毋需任何密碼就可以進入電腦,甚至取得強大的管理者權限。蘋果已經忙著設法補破網。
蘋果公司(Apple)發表聲明說:「我們正在設法以軟體更新,解決這個問題。」
英國廣播公司(BBC)報導,這個重大資安漏洞由土耳其軟體開發者艾金(Lemi Ergin)發現公布。
艾金發現,只要在Mac登入畫面的用戶名稱欄鍵入root,讓密碼欄空白,然後按enter鍵多次,即可取得目標電腦毫不受限制存取權。
但艾金並未遵循資安人員的不成文規定,在發現安全漏洞時先通報業者,讓業者有足夠時間堵住漏洞,再公諸於世,艾金因而招致批評。
至於是否事先知悉這個漏洞,蘋果不證實也不否認。
蘋果技術支援論壇的一名成員兩週多前已發文提到這個漏洞的細節,但文中似乎暗示這個漏洞可能有利於解決問題,而沒說那是個嚴重安全漏洞。
這個漏洞使得Mac門戶洞開,提供極大權限,資安專家說,蘋果犯下這個錯誤,既愚蠢又丟臉。
以root登入的存取權限比一般使用者多出很多,可以讀寫同台電腦中的其他帳號檔案。擁有系統管理者權限的超級使用者還可刪除重要系統檔案,使電腦喪失功能,或植入連防毒軟體也難以偵測到的惡意程式。
一般來說,這個漏洞不能自遠端登入,對多數使用者來說,代表這個漏洞只在有人可以實際接觸到Mac又心懷不軌時,才會構成威脅。但如果因某些其他因素,像是提供技術支援服務而授權遠端登入的話,這個漏洞就會遭到遠端利用。
這項重大資安漏洞曝光的時間點,對蘋果帶來壓力。蘋果必須趕在有心人士利用它犯案前,把漏洞給堵住。
macOS傳安全漏洞 蘋果修復前先改密碼
macOS High Sierra作業系統傳出有安全漏洞,可能導致電腦上的個資外洩;蘋果公司(Apple)正研發軟體更新來修復此問題,並建議用戶先設置Root系統管理者密碼,以避免被入侵。
國外科技網站9To5Mac報導,一名開發者發現macOSHigh Sierra存在重大安全漏洞,使用者如果沒有關閉訪客帳戶或修改Root系統管理者密碼,就有可能被有心人士入侵Mac電腦並存取個資。
報導指出,蘋果已發出官方聲明表示,正在研發軟體更新來修復此問題,同時建議使用者先啟用Root系統管理者帳戶並設置密碼,且密碼欄不可空白,以避免未授權的用戶存取電腦資料。
macOS驚傳漏洞!蘋果急道歉滅火
近日有開發人員發現,macOS High Sierra在登入頁面或使用者管理頁面時,只要在帳號區輸入root、密碼空白,就可以獲得電腦管理員權限。對此,蘋果也緊急於今(30)日發表聲明道歉,「安全對每一款蘋果產品來講都是至關重要的,很遺憾我們在這次的macOS 更新上犯了錯誤。」
蘋果這項漏洞由程式員Lemi Orhan Ergin揭發,網友和科技媒體《Wired》、《CNET》經過測試後,均確認的確有這項漏洞。對此,蘋果於聲明中說道「當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨8點,安全更新已經推送,從現在開始補丁將自動安裝在運行macOS High Sierra 10.13.1 的系統上。」
不過,就在蘋果發布更新修復該項漏洞後,有用戶更新安全補丁,多台mac之間系統檔案共用卻出現問題,蘋果也立即提供解決方案,建議「macOS High Sierra使用者打開終端,在應用程式檔案夾下的實用工具資料夾,輸入sudo/usr/libexec/configureLocalKDC,並按下Return鍵,接著輸入管理員密碼再按Return鍵,最後退出終端。」
Mac 快更新!Apple 發布 macOS High Sierra 更新修補帳號安全漏洞
macOS High Sierra 昨日爆出帳號安全漏洞,可以讓使用者不需要管理者密碼,任何人都能以「root」作為使用者帳號登入,對此,蘋果也於周三發出更新程式,並指出此漏洞是「身分驗證過程中的邏輯錯誤」,讓攻擊者可以繞過管理員驗證機制,並呼籲用戶儘速安裝更新以修補此漏洞。
由於一名土耳其使用者在 Twitter 宣稱發現 macOS High Sierra 帳號安全漏洞,在此漏洞下,可以讓使用者不需要管理者密碼就能登入 Mac,任何人都能以「root」作為使用者帳號登入,順利取得系統管理控制權限,可說是 macOS High Sierra 最大系統安全漏洞。不過,受影響僅限於 High Sierra 版本用戶,像是 macOS 10.13.0、macOS 10.13.1、macOS 10.13.2 beta 在未修補情況下都會有這項嚴重安全漏洞,並不影響之前版本,包括 Sierra 及更早之前的 macOS。
macOS High Sierra 帳號安全漏洞中,任何人都能以「root」作為使用者帳號登入,順利取得系統管理控制權限。
對此 macOS High Sierra 帳號安全漏洞,蘋果也立即推出2017-001安全更新,並指出編號 CVE-2017-13872 的漏洞是「身分驗證過程中的邏輯錯誤」,能讓攻擊者繞過管理員驗證機制,因此安全更新已經強化身分驗證以修補漏洞,並呼籲用戶儘速安裝更新。
蘋果也透過媒體對外發表聲明,就此事所帶來的影響向所有 Mac 用戶道歉。蘋果聲明如下:
安全對每一款蘋果產品來講都是至關重要的,很遺憾我們在這次的 macOS 更新上犯了錯誤。當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨 8 點,安全更新已經推出,從現在開始更新將自動安裝在運行 macOS High Sierra 10.13.1 的系統上。我們十分遺憾出現了此錯誤,我們向所有 Mac 用戶道歉,既對帶來這樣一個漏洞表示歉意,也對帶來的關注表示歉意。我們正在審核我們的開發流程,防止這種情況再次發生。
快更新! 蘋果緊急修補macOS High Sierra根帳號安全漏洞
macOS High Sierra周二被爆安全漏洞,可讓駭客接觸Mac電腦後輕鬆取得系統管理員權限後,蘋果於同一天緊急釋出修補程式。
這項漏洞在未先知會蘋果之前即公諸於世。令人吃驚的是,要開採這項漏洞相當簡單,只要在「偏好設定」中的「使用者&群組」中點入鎖頭,在使用者帳號處輸入root 再按下「解鎖」鍵後,多試幾次就能建立根帳號,無需輸入密碼。許多媒體都成功複製了這項攻擊手法。
周三蘋果釋出2017-001安全更新十分簡潔,僅指出編號CVE-2017-13872的漏洞是「身份驗證過程中的邏輯錯誤」,能讓攻擊者繞過管理員驗證機制。受影響作業版本為macOS High Sierra 10.13.1。
安全更新已經強化身份驗證以修補該漏洞,並呼籲用戶儘速安裝更新。
雖然本項漏洞需要駭客親自操作mac電腦才能進行開採,而且並未影響macOS Sierra 10.12.6及之前版本的作業系統軟體,但由於只要幾個步驟,因而頗具威脅性。
