熱門關鍵字:響應式網頁
瀏覽數:101+ │2017/12/1
最新版macOS作業系統High Sierra爆有重大安全漏洞,讓有心人士只要幾個簡單步驟即可以取得系統管理權限,在無需輸入密碼下登入系統。
英國廣播公司(BBC)報導,這個重大資安漏洞由土耳其軟體開發者艾金(Lemi Ergin)發現公布。
艾金發現,只要在Mac登入畫面的用戶名稱欄鍵入root,讓密碼欄空白,然後按enter鍵多次,即可取得目標電腦毫不受限制存取權,他甚至公開了相關的詳細步驟,只要在「偏好設定」中的「使用者&群組」中點入鎖頭,再按下「解鎖」鍵就能建立根帳號,完全無需輸入密碼,並表示只要試幾次就會成功。
有些媒體如法炮製並未成功,但Apple Insider即成功複製了網友提供的作法。而只要取得系統管理員帳號權限,就可以做任何事,像是讀取所有檔案,編輯同台電腦其他用戶帳密,或是修改設定等。
這項漏洞影響所有版本的High Sierra,包括最新版的Beta 5。該版本並不影響之前版本包括Sierra及更早之前的macOS。所幸有心人士要利用這項漏洞,必須趁用戶本人不在,親自操縱這台macOS電腦才做得到。
但艾金並未遵循資安人員的不成文規定,在發現安全漏洞時先通報業者,讓業者有足夠時間堵住漏洞,再公諸於世,艾金因而招致批評。
蘋果已發出官方聲明表示,正在研發軟體更新來修復此問題,同時建議使用者先啟用Root系統管理者帳戶並設置密碼,且密碼欄不可空白,以避免未授權的用戶存取電腦資料
蘋果這項漏洞由程式員Lemi Orhan Ergin揭發,網友和科技媒體《Wired》、《CNET》經過測試後,均確認的確有這項漏洞。對此,蘋果於聲明中說道「當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨8點,安全更新已經推送,從現在開始補丁將自動安裝在運行macOS High Sierra 10.13.1 的系統上。」
不過,就在蘋果發布更新修復該項漏洞後,有用戶更新安全補丁,多台mac之間系統檔案共用卻出現問題,蘋果也立即提供解決方案,建議「macOS High Sierra使用者打開終端,在應用程式檔案夾下的實用工具資料夾,輸入sudo/usr/libexec/configureLocalKDC,並按下Return鍵,接著輸入管理員密碼再按Return鍵,最後退出終端。」
以root登入的存取權限比一般使用者多出很多,可以讀寫同台電腦中的其他帳號檔案。擁有系統管理者權限的超級使用者還可刪除重要系統檔案,使電腦喪失功能,或植入連防毒軟體也難以偵測到的惡意程式。
一般來說,這個漏洞不能自遠端登入,對多數使用者來說,代表這個漏洞只在有人可以實際接觸到Mac又心懷不軌時,才會構成威脅。但如果因某些其他因素,像是提供技術支援服務而授權遠端登入的話,這個漏洞就會遭到遠端利用。
雖然本項漏洞需要駭客親自操作mac電腦才能進行開採,而且並未影響macOS Sierra 10.12.6及之前版本的作業系統軟體,但由於只要幾個步驟,因而頗具威脅性,蘋果必須趕在有心人士利用它犯案前,把漏洞給堵住。
macOS High Sierra 昨日爆出帳號安全漏洞,可以讓使用者不需要管理者密碼,任何人都能以「root」作為使用者帳號登入,對此,蘋果也於周三發出更新程式,並指出此漏洞是「身分驗證過程中的邏輯錯誤」,讓攻擊者可以繞過管理員驗證機制,並呼籲用戶儘速安裝更新以修補此漏洞。
蘋果聲明如下:
安全對每一款蘋果產品來講都是至關重要的,很遺憾我們在這次的 macOS 更新上犯了錯誤。當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨 8 點,安全更新已經推出,從現在開始更新將自動安裝在運行 macOS High Sierra 10.13.1 的系統上。我們十分遺憾出現了此錯誤,我們向所有 Mac 用戶道歉,既對帶來這樣一個漏洞表示歉意,也對帶來的關注表示歉意。我們正在審核我們的開發流程,防止這種情況再次發生。
轉貼的出處:https://www.nownews.com/news/20171129/2653507
