趨 勢 分 析

Trend Analysis

熱門關鍵字:響應式網頁

Mac作業系統重大資安漏洞,蘋果忙補破網:建議用戶先改密碼!

瀏覽數:3+ │2017/12/1

最新版macOS作業系統High Sierra爆有重大安全漏洞,讓有心人士只要幾個簡單步驟即可以取得系統管理權限,在無需輸入密碼下登入系統。

 

英國廣播公司(BBC)報導,這個重大資安漏洞由土耳其軟體開發者艾金(Lemi Ergin)發現公布。

艾金發現,只要在Mac登入畫面的用戶名稱欄鍵入root,讓密碼欄空白,然後按enter鍵多次,即可取得目標電腦毫不受限制存取權,他甚至公開了相關的詳細步驟,只要在「偏好設定」中的「使用者&群組」中點入鎖頭,再按下「解鎖」鍵就能建立根帳號,完全無需輸入密碼,並表示只要試幾次就會成功。 

 

有些媒體如法炮製並未成功,但Apple Insider即成功複製了網友提供的作法。而只要取得系統管理員帳號權限,就可以做任何事,像是讀取所有檔案,編輯同台電腦其他用戶帳密,或是修改設定等。 

這項漏洞影響所有版本的High Sierra,包括最新版的Beta 5。該版本並不影響之前版本包括Sierra及更早之前的macOS。所幸有心人士要利用這項漏洞,必須趁用戶本人不在,親自操縱這台macOS電腦才做得到。

 

但艾金並未遵循資安人員的不成文規定,在發現安全漏洞時先通報業者,讓業者有足夠時間堵住漏洞,再公諸於世,艾金因而招致批評。

 

 

蘋果已發出官方聲明表示,正在研發軟體更新來修復此問題,同時建議使用者先啟用Root系統管理者帳戶並設置密碼,且密碼欄不可空白,以避免未授權的用戶存取電腦資料

蘋果這項漏洞由程式員Lemi Orhan Ergin揭發,網友和科技媒體《Wired》、《CNET》經過測試後,均確認的確有這項漏洞。對此,蘋果於聲明中說道「當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨8點,安全更新已經推送,從現在開始補丁將自動安裝在運行macOS High Sierra 10.13.1 的系統上。」

不過,就在蘋果發布更新修復該項漏洞後,有用戶更新安全補丁,多台mac之間系統檔案共用卻出現問題,蘋果也立即提供解決方案,建議「macOS High Sierra使用者打開終端,在應用程式檔案夾下的實用工具資料夾,輸入sudo/usr/libexec/configureLocalKDC,並按下Return鍵,接著輸入管理員密碼再按Return鍵,最後退出終端。」

 

以root登入的存取權限比一般使用者多出很多,可以讀寫同台電腦中的其他帳號檔案。擁有系統管理者權限的超級使用者還可刪除重要系統檔案,使電腦喪失功能,或植入連防毒軟體也難以偵測到的惡意程式。

一般來說,這個漏洞不能自遠端登入,對多數使用者來說,代表這個漏洞只在有人可以實際接觸到Mac又心懷不軌時,才會構成威脅。但如果因某些其他因素,像是提供技術支援服務而授權遠端登入的話,這個漏洞就會遭到遠端利用。

 

雖然本項漏洞需要駭客親自操作mac電腦才能進行開採,而且並未影響macOS Sierra 10.12.6及之前版本的作業系統軟體,但由於只要幾個步驟,因而頗具威脅性,蘋果必須趕在有心人士利用它犯案前,把漏洞給堵住。

 

Mac 快更新!Apple 發布 macOS High Sierra 更新修補帳號安全漏洞

macOS High Sierra 昨日爆出帳號安全漏洞,可以讓使用者不需要管理者密碼,任何人都能以「root」作為使用者帳號登入,對此,蘋果也於周三發出更新程式,並指出此漏洞是「身分驗證過程中的邏輯錯誤」,讓攻擊者可以繞過管理員驗證機制,並呼籲用戶儘速安裝更新以修補此漏洞。

 

蘋果聲明如下:

安全對每一款蘋果產品來講都是至關重要的,很遺憾我們在這次的 macOS 更新上犯了錯誤。當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨 8 點,安全更新已經推出,從現在開始更新將自動安裝在運行 macOS High Sierra 10.13.1 的系統上。我們十分遺憾出現了此錯誤,我們向所有 Mac 用戶道歉,既對帶來這樣一個漏洞表示歉意,也對帶來的關注表示歉意。我們正在審核我們的開發流程,防止這種情況再次發生。

 

 

 

更改密碼請參考APPLE官網https://support.apple.com/en-us/HT204012 

轉貼的出處:https://www.nownews.com/news/20171129/2653507


關於本網頁內所有新聞內容,均係由公開之網站轉載,不代表『立大資訊』之立場,我們尊重並清楚標示來源處,如果任何機構或個人對某特定新聞有異議,認為侵犯了您們的知識財產權,敬請原宥我們的疏忽,並請與我們聯絡,我們會立即更正。