✔Баг в macOS позволяет любому желающему получить доступ к настройкам App Store - «Новости»

12 января 2018 562 Новости 0

Эксплуатировать баг очень просто. Если чужой Mac остался без присмотра, и его пользователь залогинен как администратор, нужно проделать следующие манипуляции:

открыть окно настроек App Store;

кликнуть на иконку замка;

система попросит ввести логин и пароль;

ввести в предложенные поля любые произвольные значения, нажать на Unlock.

После этого доступ к настройкам App Store получен. С их помощью злоумышленник, к примеру, может изменить настройки, отвечающие за установку обновлений безопасности.

Разработчики Apple, судя по всему, уже исправили ошибку в macOS 10.13.3, релиз которой ожидается в скором времени. Также, по данным исследователей, баг отсутствует в системах, работающих под управлением macOS Sierra 10.12.6 и ниже.

Представители Apple пока никак не прокомментировали найденную ошибку. Напомню, что это уже второй случай такого рода за последнее время. Так, в ноябре 2017 года в macOS High Sierra был обнаружен баг, который позволял получить root-доступ к системе, попросту использовав «root» в качестве логина и оставив поле ввода пароля пустым. Хотя новая проблема определенно не так критична, ИБ-специалисты все равно отмечают, что Apple определенно пора провести аудит кода.

Источник новости - google.com

Исследователи Open Radar сообщили, что обнаружили в составе macOS 10.13.2 уязвимость, которая позволяет любому желающему получить доступ к настройкам App Store. Причем знать чужие логин и пароль для этого не понадобится. Эксплуатировать баг очень просто. Если чужой Mac остался без присмотра, и его пользователь залогинен как администратор, нужно проделать следующие манипуляции: открыть окно настроек App Store; кликнуть на иконку замка; система попросит ввести логин и пароль; ввести в предложенные поля любые произвольные значения, нажать на Unlock. После этого доступ к настройкам App Store получен. С их помощью злоумышленник, к примеру, может изменить настройки, отвечающие за установку обновлений безопасности. Разработчики Apple, судя по всему, уже исправили ошибку в macOS 10.13.3, релиз которой ожидается в скором времени. Также, по данным исследователей, баг отсутствует в системах, работающих под управлением macOS Sierra 10.12.6 и ниже. Представители Apple пока никак не прокомментировали найденную ошибку. Напомню, что это уже второй случай такого рода за последнее время. Так, в ноябре 2017 года в macOS High Sierra был обнаружен баг, который позволял получить root-доступ к системе, попросту использовав «root» в качестве логина и оставив поле ввода пароля пустым. Хотя новая проблема определенно не так критична, ИБ-специалисты все равно отмечают, что Apple определенно пора провести аудит кода. Источник новости - google.com