Apple har for nylig udgivet en meget vigtig supplerende opdatering til alle Mac-brugere, der har installeret macOS High Sierra 10.13.
In macOS High Sierra 10.13 Supplerende opdatering løser nogle grafiske funktionsfejl for Adobe InDesign og en bug som ikke tillod det Slet meddelelser modtaget i Yahoo Mail Application.
Den mest alvorlige del af denne ekstra opdatering er relateret til to sikkerhedsspørgsmål, der blev "bundtet" med det nye High Sierra-operativsystem.
Sårbarhed for adgangskodekryptering for APFS (krypteret) - Diskværktøjsfejl
En fejl i ansøgningen Diskværktøj det gør det synligt kodeord for formaterede diskvolumener APFS krypteret.
Kort sagt, når vi indtaster den krypterede adgangskode til en lydstyrke, kræves det to gange for at sikre, at vi ikke skrev det forkert første gang. Så er vi nødt til at vælge et ”vink”(Et ord eller en sætning) som en ledetråd til adgangskoden. Fejlen i Diskværktøj, gør adgangskoden synlig i stedet for ordet eller sætningen fra "tip". På denne måde bliver den eksponeret for alle, der har adgang til Mac'en.
Videoen udgivet på Twitter viser præcis, hvordan du finder APFS-krypteret lydstyrkeadgangskode ved hjælp af Diskværktøj.
Ville være interessant hvorfor Apple anbefaler sletning, når diskutil kan rydde tip:
diskfiled apfs setPassphraseHint [diskXsX] -bruger disk -clear pic.twitter.com/0khrm8aTq9- Felix Schwarz (@felix_schwarz) Oktober 5, 2017
sårbarhed Keychain Adgang - omgå brugeradgangskode
Normalt og tvangsfuldt, når vi går en konto og en adgangskode gemt i Keychain, er påkrævet Mac brugeradgangskode. Gennem en sårbarhed a macOS High Sierra, en dårlig hensigt ansøgning kan udtræk adgangskoder gemt i Keychain Adgang, springer over brugeradgangskoden Mac ved hjælp af et syntetisk klik. Falsk / simuleret.
Udgivet oktober 5, 2017
Storagekit
Tilgængelig til: macOS High Sierra 10.13
Virkning: En lokal angriber kan få adgang til et krypteret APFS-volumen
Beskrivelse: Hvis der blev angivet et tip i Diskværktøj, da der blev oprettet en krypteret volumen APFS, blev adgangskoden gemt som tippet. Dette blev løst ved at rydde hint storage hvis hintet var adgangskoden, og ved at forbedre logikken for lagring af tip.
CVE-2017-7149: Matheus Mariano fra Leet Tech
Security
Tilgængelig til: macOS High Sierra 10.13
Effekt: Et ondsindet program kan udtrække keychain passwords
Beskrivelse: Der eksisterede en metode til applikationer til at omgå keychain få adgang til prompt med et syntetisk klik. Dette blev løst ved at kræve brugeradgangskoden, når du blev bedt om keychain adgang.
CVE-2017-7150: Patrick Wardle af Synack
Nye downloads af macOS High Sierra 10.13 inkluderer security indhold af macOS High Sierra 10.13 Supplerende opdatering.
Så hvis du har macOS High Sierra 10.13, det anbefales stærkt at lave den ekstra opdatering. Den er tilgængelig via Mac App Storei fanen "opdateringer"(Og vil ikke ændre versionsnummeret). Apple har allerede offentliggjort macOS High Sierra 10.13.1 til udviklere, der har enheder i Apple Beta Software Program.
0 tanker om "Sikkerhedsproblemer APFS Krypteret og Keychain Adgang, løst med macOS High Sierra 10.13 Supplerende opdatering"