Szinte még alább sem hagyott a balhé az Apple háza táján az akksik öregedése miatti iPhone lassítással kapcsolatban, megkaptuk a nyakunkba a Spectre és Meltdown néven elhíresült biztonsági réseket, melyek a legtöbb modern kori processzort érintik. Az ember azt hihetné, hogy ilyen hibák csak a mesében léteznek, de aztán jön egy lelkes felhasználó és bebizonyítja, hogy nem. Lelkes felhasználóból pedig a Mac-esek között sincs hiány.
Újabb biztonsággal kapcsolatos hibára derült ugyanis fény a macOS-ben, ám ez - hála az égnek - nem annyira durva, mint a tavaly őszi. A nemrégiben felfedezett probléma kizárólag a System Preferences (Rendszer beállítások) App Store (Alkalmazás Bolt) szekcióját érinti. A szoftver ezen része - hasonlóan sok másik, a rendszer alapvető működését befolyásoló egységéhez - kizárólag adminisztrátori jogosultsággal rendelkezdő felhasználók által módosítható.
A módosításhoz a bal alsó sarokban található lakatra kell kattintanunk és ha megadunk egy rendszergazdai jogokkal rendelkező fióknevet, valamint a hozzá tartozó jelszót, a lakat feloldásra kerül és a menüben lévő értékek módosíthatóvá válnak. Amennyiben rossz felhasználónév-jelszó párost adunk meg vagy olyan júzerrel próbálkozunk, akinek nincs adminisztrátori jogosultsága, normál esetben egy hibaüzenetet kell, hogy kapjunk.
kép forrása: macrumors.com
Nos, a valóság egészen mást mutat. Amennyiben egy rendszergazdai jogosultsággal rendelkező felhasználó be van jelentkezve, a rendszer bármilyen jelszót elfogad, mintha egyáltalán nem is ellenőrizné annak érvényességét. A jelenség normál jogosultsági szinttel rendelkező felhasználók esetében nem működik, ott az eredmény pontosan az a hibaüzenet, amelyet minden esetben kapnunk kellene, ha nem a megfelelő felhasználónév-jelszó párost ütjük be.
Figyelembe véve, hogy az App Store beállításoknál túl sok mindenhez nem nagyon lehet hozzáférni (legfeljebb beállíthatjuk, hogy a gép egyáltalán ne kapjon se rendszer-, se biztonsági frissítéseket, ami azért nem vicces), ez a rés jóval kisebb horderejű, mint a bő három hónappal ezelőtti. Sőt, nagyon úgy fest, hogy a hibáról már maga az Apple is tud egy ideje, ugyanis a macOS utolsó két béta verziójában már a fent említett módszer nem működik.
A helyzet inkább azért pikáns, mert októberben kőkeményen elővették az Apple-t az egyre sokasodó szoftveres és biztonsági problémák miatt és akkor kegyelmesen térdre rogytak (értsd: hajlandók voltak kiadni egy nyilatkozatot), hogy belső vizsgálatot rendelnek el és igyekeznek megelőzni a jövőben, hogy hasonló dolgok előfordulhassanak.
Nem tudni, hány biztonsági rés lehet még a rendszerben és ezeket ki és mikor fogja felfedezni, a mostani probléma szerencsére csak és kizárólag a High Sierra-t érinti és a következő hetekben várhatóan befoltozásra kerül - hacsak nem dönt úgy az Apple, hogy az esedékes nagyobb frissítést (10.13.3) megelőzően kiad egy gyorsjavítást, hogy elejét vegye a támadásoknak.
Tegnap reggel írtunk róla, hogy az Apple szélsebesen kiadott egy javítást, amely egy igencsak magas kockázatot jelentő biztonsági rést foltoz be. Az októberi fiaskóval együtt ez rövid időn belül két igencsak komoly kockázat, ami némileg aggasztó, hiszen pár évvel ezelőtt ilyen súlyos hibák elképzelhetetlenek voltak egy Mac-en.
Tegnap délután érkezett egy újabb hír, melyen nem tudtunk mást tenni, csak kínunkban röhögni. A 2017-001-es biztonsági frissítés telepítését követően ugyanis felhasználók sokasága számolt be arról, hogy a gépükön létrehozott megosztások más számítógépekről egyszerűen elérhetetlenné váltak.
A hibajelenség teljesen átlagos volt. Amikor egy, a hálózaton lévő másik Mac-re szeretnénk kapcsolódni és böngészni az ott megosztott állományok (fájlok, mappák) között, akkor a rendszer megér minket, hogy gépeljünk be egy megfelelő jogosultságokkal rendelkező account felhasználónevét és jelszavát. Miután ezt megtettük, láthatóvá válik a távoli számítógépen megosztott összes anyag.
Nos, ez egészen addig igaz, amíg nem telepítjük fel a legújabb biztonsági frissítést. Miután ugyanis ezt megtettük, hiába írjuk be a megfelelő felhasználónév-jelszó párost, a rendszer nem fogadja el azt és egy "Azonosítási hiba" üzenettel örvendeztet meg minket. Az Apple ismét fénysebességgel reagált és alig pár óra elteltével kiadtak egy hivatalos támogatói doksit, melyben az alábbi megoldást javasolják a probléma elhárítására:
Nyissa meg a Terminal alkalmazást, amely az Alkalmazások mappa Segédprogramok almappájában található.
Írja be a következő szöveget, majd nyomja le az Enter billentyűt:sudo /usr/libexec/configureLocalKDC.
Adja meg a rendszergazdai jelszót, majd nyomja le az Enter billentyűt.
Lépjen ki a Terminal alkalmazásból.
Ha tehát Te is belefutottál ebbe a hibába, nincs más dolgod, mint követni a fenti négy lépést. Reméljük, hogy ezek az esetek komolyan elgondolkodtatják a céget és a jövőben a minőség ellenőrzést (vagy nevezzük bárminek) sokkal-sokkal komolyabban veszik.
Az Apple tegnap délután egy nagyon fontos biztonsági frissítést adott ki, amelyet minden macOS High Sierra rendszert futtató olvasónak erősen ajánlunk feltelepítésre. A Security Update 2017-001 néven futó frissítés ugyanis egy igen komoly biztonsági rést foltoz be.
A sebezhetőség súlyosságát jelzi, hogy a sajtó pillanatok alatt felkapta a fejét rá, miután egy Lemi Ergin nevű fejlesztő kedden megosztotta azt saját Twitter falán. A probléma végtelenül egyszerű, ennél fogva egyben ijesztő is, hogy ilyesmi egyáltalán előfordulhat egy olyan cégnél, amely akár a saját kormányával is szembe száll, ha adatbiztonságról van szó.
Ha a Beállítások / Felhasználók és csoportok (Users & Groups) szekción belül komolyabb módosításokat szeretnénk eszközölni, akkor a macOS megkér minket, hogy írjuk be egy adminisztrátori jogosultsággal rendelkező felhasználó nevét és jelszavát (amely a legtöbb esetben a miénk), majd kattintsunk a Feloldás (Unlock) gombra. Ha sikeres a művelet, akkor szerkeszthetővé válnak olyan beállítások, melyek komolyabban befolyásolják a rendszer működését.
Ilyen a képen is látható AppleID segítségével történő jelszó reset, de az is, hogy eldöntsük, melyik felhasználónak adunk admin jogot és melyiktől vesszük el. A biztonsági rést ebben az esetben az jelenti, hogy a macOS minden további nélkül továbbenged bárkit az előbb említett ablakon, ha felhasználónévnek beírja, hogy root, a jelszót tartalmazó részt pedig üresen hagyja.
Az Apple fénysebességű reakciója egyértelműen megmutatja, milyen súlyos biztonsági hiba ez, melyről láthatóan ők is az internetről értesültek, ami - ha tényleg így van - minimum aggasztó. Hivatalos közleményükben röviden annyit írtak, hogy bocsánatot kérnek minden Mac-es felhasználótól nem csak a biztonsági résért, de az esetleg kellemetlenségekért is, amiket az okozott.
"A vásárlóink többet érdemelnek ennél."
Az Apple felül fogja vizsgálni a fejlesztések során alkalmazott ellenőrzési folyamatokat és azt ígérik, megteszik a szükséges változásokat annak érdekében, hogy a jövőben ehhez hasonló eset ne fordulhasson elő. Finoman fogalmazva ez valószínűleg egyben azt is jelenti, hogy valaki jó eséllyel repülni fog arról az osztályról.
A frissítés már elérhető és telepíthető a Mac App Store-on belül a Frissítések fülre kattintva.
Az Apple csütörtökön este kiadta az első frissítést az alig egy hete megjelent macOS High Sierra (10.13) operációs rendszerhez. Az update-et szokás szerint az App Store-ból lehet letölteni és a telepítése erősen ajánlott, hiszen a szoftver két fontos biztonsági rést is befoltoz egyszerre.
Egy brazil fejlesztő még szeptember 27-én számolt be arról, hogy talált egy bugot a gyári Disk Utility (Lemezkezelő) alkalmazásban, melynek segítségével könnyedén hozzáférhet bárki a titkosított (jelszóval védett) APFS fájlrendszerrel rendelkező adattárolók tartalmához. A probléma elég egyszerű, amikor titkosítjuk egy meghajtót, a Disk Utility arra kér, hogy üssük be kétszer egymás alá a hozzáféréshez szükséges jelszót, majd, ha szeretnénk, adjunk meg egy úgynevezett hintet (útbaigazítást, célzást), mely valamilyen úton-módon utal az általunk létrehozott jelszóra. Erre akkor lehet szükség, ha elfelejtenénk a jelszót, viszont némi segítség után vissza tudunk rá emlékezni.
A bug abban rejlik, hogy amikor ehhez a segítséghez folyamodunk, akkor a rendszer az előzetes hint helyett magát a titkosításhoz használt jelszót mutatja meg nekünk. Aki tehát tud a hiba létezéséről, az könnyedén hozzáférhet titkosított lemezeken tárolt adatokhoz.
A másik biztonsági rés, melyre az új frissítés megoldást nyújt az iCloud Keychain (Kulcskarika) szolgáltatás segítségével tárolt jelszavakkal kapcsolatos. Az Apple által nem hitelesített (az App Store-on kívülről letöltött) alkalmazások ugyanis úgy néz ki, viszonylag könnyedén hozzáférhetnek a Keychainben tárolt jelszavakhoz. Egy ilyen alkalmazást futtatva, majd a Terminal nevű parancssorba belépve és egy egyszerű parancsot beírva a rendszer mezei szöveges formátumban mutatja meg az összes adatot honlap címekkel, felhasználónevekkel, jelszavakkal.
Bár azt nem tudni, a biztonsági rés korábbi rendszerekben is jelen van-e (Sierra-ra hetek óta nem jött frissítés), amennyiben bármelyik itt említett szolgáltatást, illetve funkciót használjuk High Sierra alatt, amint lehet, látogassunk el az App Store-ba és telepítsük fel a frissítést az Updates (Frissítések) fül alól.
A szeptember 12-i keynote-on az Apple valószínűleg bejelenti a macOS High Sierra pontos megjelenési dátumát, ehhez nem férhet kétség. Az új operációs rendszer több érdekes változást is hoz, ezek közül talán az egyik legfontosabb az APFS névre hallgató fájlrendszer lesz, amely a lassan matuzsálemi korba lépő HFS+t váltja.
Egy augusztus 21-én publikált dokumentum viszont igencsak érdekes dolgokat tartalmaz, például azt, hogy az APFS-t kizárólag SSD-ken lehet majd használni, hagyományos merevlemezeken (HDD-ken) nem. Egyelőre az is kérdéses, hogy a hibrid meghajtóként működő ún. Fusion Drive-okkal mi lesz, a startnál egészen biztosan nem lesznek a támogatott adattárolók listáján.
Ez azért is érdekes, mert bár a MacBookok egy ideje már kizárólag SSD-vel kaphatók, több millió felhasználó rendelkezik egészen fiatal, akár 2-3 éves masinákkal, melyekbe még sima HDD került. Ők jó eséllyel csak akkor tudják majd élvezni az új fájlrendszer előnyeit, ha kicserélik az adattárolójukat egy SSD-re - vagy vásárolnak egy új MacBookot, melyben eleve ilyen tároló van.
Az új fájlrendszert írni is olvasni is lehet majd a jelenleg használatos HFS+ról, viszont kizárólag abban az esetben, ha az adott gépen legalább a macOS 10.12.6-os verziója (Sierra) fut. Az APFS-re konvertált meghajtókon tárolt adatok az előzetes tesztek alapján nagyjából 8-10 százalékkal foglalnak kevesebb helyet, mint HFS+on a konvertálás előtt, illetve a rendszer betöltési ideje is jelentősen csökkent, főleg a sima SATA csatlakozóval működő (régebbi) SSD-s MacBookoknál.
Aki használ Time Machine-t, annak sem kell aggódnia, a konvertálás után ugyanúgy hozzáfér majd az adataihoz, mint korábban, illetve aki titkosította a rendszerét a beépített Filevault segítségével, annak ugyanúgy titkosítva marad az SSD-je az APFS-re való átállás után is.
Akárcsak az iOS 10 esetében, úgy a High Sierra-ra való frissítés során sem lesz lehetőségünk választani a régi, illetve az új fájlrendszer között, a konvertálás automatikusan megtörténik a háttérben, akár szeretnénk, akár nem. Éppen ezért lehet, hogy érdemes lesz várni az upgrade-del, hogy kiderüljön, vannak-e ilyen tekintetben gyerekbetegségei az új macOS-nek.
A blogon található valamennyi írás, valamint a fényképek egy része a szerző saját tulajdonát képezik, amelyek másolása, terjesztése kizárólag előzetes engedéllyel lehetséges.
