Počas včerajšieho dňa sa objavila správa o tom, že sa v operačnom systéme macOS High Sierra objavila závažná diera v zabezpečení, vďaka ktorej bolo možné zneužiť administrátorské práva k počítaču z účtu obyčajného hosťa. Na chybu narazil jeden z vývojárov, ktorý sa o nej následne okamžite zmienil o podpore spoločnosti Apple. Vďaka chybe v zabezpečení mohol používateľ s účtom hosťa preniknúť do systému a upravovať osobné a súkromné dáta administrátorského účtu. Detailný popis problému si môžete prečítať tu. Trvalo to len necelých dvadsaťštyri hodín a spoločnosť Apple zverejnila aktualizáciu, ktorá tento problém vyriešila. Je dostupná od včerajšieho popoludnia a nainštalovať si ju môže každý, kto disponuje zariadením kompatibilným s macOS High Sierra.
Tento problém v zabezpečení operačného systému sa nevzťahuje na staršie verzie macOS. Pokiaľ teda máte macOS Sierra 10.12.6 a starší, nemusíte sa ničoho obávať. Naopak užívatelia, ktorí majú vo svojom Macu či MacBooku nainštalovanú najnovšiu betu 11.13.2 sa musia mať na pozore, pretože k nim táto aktualizácia ešte nedorazila. Dá sa očakávať, že sa objaví v ďalšej iterácii betatestu.
Pokiaľ sa vám teda na vašom zariadení aktualizácia objavila, výrazne odporúčame aktualizovať čo najskôr. Ide o pomerne závažnú bezpečnostnú chybu a ku cti Applu môžeme pripísať to, že na riešenie potreboval menej ako jeden deň. Nižšie si môžete prečítať changelog v angličtine:
SECURITY UPDATE 2017-001
Vydané 29. novembra 2017
Adresárová utilita
Dostupné pre: macOS High Sierra 10.13.1
Nezasiahnuté: makrá Sierra 10.12.6 a staršie
Dopad: Útočník môže obísť autentifikáciu správcu bez zadania hesla administrátora
Popis: Pri overovaní poverení existovala logická chyba. To bolo riešené pomocou vylepšeného overovania oprávnení.
CVE-2017 13872,
Keď install Security Update 2017-001 on váš Mac, zriadený počet macOS bude 17B1002. Learn how to find the macOS version and build number na počítači Mac.
If you require root user account on your Mac, you can enable root user and change the root user's password.
no, a to je informácia vonku, že sa o tom bugu vedelo cca už 2 týždne (bolo to na apple foroch) a nič sa nedialo. tak sa niekto nasral a jednoducho to dal na twitter aby konečne niečo začali robiť. ... ako normálna vec, až na to zo UIcko systému vie evidentne obchádzať autentikáciu používateľ? priste až niekto povie že je mac bezpečnejší ako windows tak by si rovno mal zavolať pre sanitku do blazinca
aha a vy ste nejaky bezpecnosti expert? alebo len kecal na foru?
hele, bezpečnostným expertom na čo konkrétne? ale ja by som sa im priamo neoznačoval aj keď do zabezpečenia OS a treba web aplikáciu vidím), ale trosku by ma vyľakalo keby som si zmenil pozadie na ploche a odomkol tým root účet
a toto je vicemene chyba na rovnakej báze
Avšak môžete dať robiť že sa nič nestalo, je to predsa jablko a na ten sa nesiaha