Az Apple csütörtökön este kiadta az első frissítést az alig egy hete megjelent macOS High Sierra (10.13) operációs rendszerhez. Az update-et szokás szerint az App Store-ból lehet letölteni és a telepítése erősen ajánlott, hiszen a szoftver két fontos biztonsági rést is befoltoz egyszerre.
Egy brazil fejlesztő még szeptember 27-én számolt be arról, hogy talált egy bugot a gyári Disk Utility (Lemezkezelő) alkalmazásban, melynek segítségével könnyedén hozzáférhet bárki a titkosított (jelszóval védett) APFS fájlrendszerrel rendelkező adattárolók tartalmához. A probléma elég egyszerű, amikor titkosítjuk egy meghajtót, a Disk Utility arra kér, hogy üssük be kétszer egymás alá a hozzáféréshez szükséges jelszót, majd, ha szeretnénk, adjunk meg egy úgynevezett hintet (útbaigazítást, célzást), mely valamilyen úton-módon utal az általunk létrehozott jelszóra. Erre akkor lehet szükség, ha elfelejtenénk a jelszót, viszont némi segítség után vissza tudunk rá emlékezni.
A bug abban rejlik, hogy amikor ehhez a segítséghez folyamodunk, akkor a rendszer az előzetes hint helyett magát a titkosításhoz használt jelszót mutatja meg nekünk. Aki tehát tud a hiba létezéséről, az könnyedén hozzáférhet titkosított lemezeken tárolt adatokhoz.
A másik biztonsági rés, melyre az új frissítés megoldást nyújt az iCloud Keychain (Kulcskarika) szolgáltatás segítségével tárolt jelszavakkal kapcsolatos. Az Apple által nem hitelesített (az App Store-on kívülről letöltött) alkalmazások ugyanis úgy néz ki, viszonylag könnyedén hozzáférhetnek a Keychainben tárolt jelszavakhoz. Egy ilyen alkalmazást futtatva, majd a Terminal nevű parancssorba belépve és egy egyszerű parancsot beírva a rendszer mezei szöveges formátumban mutatja meg az összes adatot honlap címekkel, felhasználónevekkel, jelszavakkal.
Bár azt nem tudni, a biztonsági rés korábbi rendszerekben is jelen van-e (Sierra-ra hetek óta nem jött frissítés), amennyiben bármelyik itt említett szolgáltatást, illetve funkciót használjuk High Sierra alatt, amint lehet, látogassunk el az App Store-ba és telepítsük fel a frissítést az Updates (Frissítések) fül alól.
A bejegyzés trackback címe:
Kommentek:
A hozzászólások a vonatkozó jogszabályok értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a Felhasználási feltételekben és az adatvédelmi tájékoztatóban.