Apple เพิ่งเผยแพร่การอัปเดตเสริมที่สำคัญมากสำหรับผู้ใช้ Mac ทุกคนที่ได้ติดตั้ง macOS เซียร์ราสูง 10.13.
In macOS อัปเดตเสริม High Sierra 10.13 กำลังแก้ปัญหาบ้าง กราฟิกทำงานผิดพลาดสำหรับ Adobe InDesign และ ข้อผิดพลาด ซึ่งไม่อนุญาต ลบข้อความที่ได้รับใน Yahoo Mail Application.
ส่วนที่ร้ายแรงที่สุดของการอัปเดตเพิ่มเติมนี้เกี่ยวข้องกับ ปัญหาด้านความปลอดภัย 2 ข้อซึ่งมาพร้อมกับระบบปฏิบัติการ High Sierra ใหม่
ช่องโหว่การเข้ารหัสรหัสผ่านสำหรับ APFS (เข้ารหัส) - บั๊กยูทิลิตี้ดิสก์
ข้อผิดพลาดในแอ็พพลิเคชัน Disk Utility ที่ไม่ รหัสผ่านที่มองเห็นได้ สำหรับปริมาณแผ่นดิสก์ที่ฟอร์แมต เข้ารหัส APFS แล้ว.
ในระยะสั้นเมื่อเราป้อนรหัสผ่านเข้ารหัสสำหรับไดรฟ์ข้อมูลจำเป็นต้องใช้สองครั้งเพื่อให้แน่ใจว่าเราไม่ได้พิมพ์ผิดในครั้งแรก จากนั้นเราต้องเลือก“เปรย” (คำหรือวลี) เพื่อเป็นเบาะแสรหัสผ่าน ข้อบกพร่องใน Disk Utilityทำให้มองเห็นรหัสผ่านแทนคำหรือวลีจาก "คำใบ้" ด้วยวิธีนี้ ผู้ที่สามารถเข้าถึง Mac ได้จะถูกเปิดเผย
วิดีโอที่โพสต์บน Twitter แสดงให้เห็นว่าจะหารหัสผ่านระดับเสียงที่เข้ารหัสด้วย APF โดยใช้ Disk Utility ได้อย่างไร
จะน่าสนใจทำไม Apple แนะนำให้ลบเมื่อ diskutil สามารถล้างคำใบ้:
diskfiled apfs setPassphraseHint [diskXsX] - ผู้ใช้ดิสก์ - เคลียร์ pic.twitter.com/0khrm8aTq9- เฟลิกซ์ชวาร์ส (@felix_schwarz) ตุลาคม 5, 2017
ความอ่อนแอ Keychain การเข้าถึง - เลี่ยงรหัสผ่านผู้ใช้
โดยปกติแล้วเมื่อเราไป บัญชีและรหัสผ่านที่บันทึกไว้ใน Keychainเป็นสิ่งจำเป็น รหัสผ่านผู้ใช้ Mac. ผ่านช่องโหว่ a macOS High Sierraแอ็พพลิเคชันเจตนาร้ายสามารถ แยกรหัสผ่านที่บันทึกไว้ใน Keychain ทางเข้าข้ามรหัสผ่านผู้ใช้ Mac ด้วยการคลิกสังเคราะห์ เท็จ / จำลอง
ออกในเดือนตุลาคม 5, 2017
Storageชุด
ให้บริการสำหรับ: macOS เซียร์ราสูง 10.13
ผู้โจมตีท้องถิ่นอาจได้รับสิทธิ์เข้าถึงโวลุ่ม APFS ที่เข้ารหัส
คำอธิบาย: หากมีการตั้งค่าคำใบ้ในยูทิลิตี้ดิสก์เมื่อสร้าง APFS โวลุ่มที่เข้ารหัส รหัสผ่านจะถูกเก็บไว้เป็นคำใบ้ สิ่งนี้ได้รับการแก้ไขแล้วโดยการล้างคำใบ้ storage หากคำใบ้เป็นรหัสผ่าน และโดยการปรับปรุงตรรกะสำหรับการจัดเก็บคำใบ้
CVE-2017-7149: Matheus Mariano จาก Leet Tech
Security
ให้บริการสำหรับ: macOS เซียร์ราสูง 10.13
ผลกระทบ: แอพพลิเคชั่นที่เป็นอันตรายสามารถแยกได้ keychain รหัสผ่าน
คำอธิบาย: มีวิธีการสำหรับแอปพลิเคชันในการเลี่ยงผ่าน keychain เข้าถึงพรอมต์ด้วยการคลิกสังเคราะห์ สิ่งนี้ได้รับการแก้ไขแล้วโดยกำหนดให้ผู้ใช้รหัสผ่านเมื่อได้รับแจ้งสำหรับ keychain ทางเข้า
CVE-2017-7150: Patrick Wardle จาก Synack
ดาวน์โหลดใหม่ของ macOS High Sierra 10.13 รวมถึง security เนื้อหาของ macOS อัปเดตเสริม High Sierra 10.13
ดังนั้นถ้าคุณมี macOS High Sierra 10.13 ขอแนะนำอย่างยิ่งให้ทำการอัพเดตเพิ่มเติม มีจำหน่ายผ่านทาง Mac App Store, ในแท็บ "การปรับปรุง"(และจะไม่เปลี่ยนหมายเลขเวอร์ชัน). Apple ได้เผยแพร่แล้ว macOS เซียร์ราสูง 10.13.1 สำหรับนักพัฒนาที่มีอุปกรณ์ใน Apple Beta Software Program.
0 คิดเกี่ยวกับ "ปัญหาด้านความปลอดภัย APFS เข้ารหัสและ Keychain เข้าถึงแก้ไขด้วย macOS การอัปเดตเสริม High Sierra 10.13"