Η Apple διορθώνει το τεράστιο κενό ασφαλείας που βρέθηκε αυτές τις μέρες στο macOS High Sierra

Συμβαίνει και στα καλύτερα σπίτια τελικά. Αυτές τις μέρες βρέθηκε ένα ιδιαίτερα σημαντικό κενό ασφαλείας στην τελευταία έκδοση του macOS λειτουργικού, High Sierra. Το κενό ασφαλείας επέτρεπε σε κάποιον να αποκτήσει δικαιώματα root σε μία συσκευή, χωρίς καν να χρειάζεται να ξέρει κάποιο συνθηματικό ή να απαιτείται να κατέχει κάποιες τεχνικές γνώσεις.

Το κενό ασφαλείας βρέθηκε από τον προγραμματιστή Lemi Orhan Ergin, ο οποίος σε tweet του γνωστοποίησε ότι οποιοσδήποτε θα μπορούσε να κάνει log in σε ένα σύστημα το οποίο τρέχει την τελευταία έκδοση του macOS High Sierra, απλά βάζοντας ως όνομα χρήστη "root", αφήνοντας κενό το συνθηματικό και πατώντας μερικές φορές για να συνδεθεί.

Ο Lemi Orhan Ergin δέχτηκε κάποια επικριτικά σχόλια για το ότι δημοσίευσε αυτό το κενό ασφαλείας, χωρίς να ενημερώσει πρώτα την Apple. Η δημοσίευση μιας τέτοιας πληροφορίας, πριν να δοθεί ο απαραίτητος χρόνος επιδιόρθωσης του από την Apple, θα μπορούσε να επιτρέψει σε κάποιους να εκμεταλλευτούν το κενό αυτό ασφαλείας. Αυτό δεν αλλάζει το γεγονός ότι πρόκειται για πολύ χοντρό λάθος, πολύ περισσότερο όταν μιλάμε για μια εταιρία του μεγέθους της Apple.

Η εταιρία αντέδρασε σχετικά άμεσα πάντως, κυκλοφορώντας μία διόρθωση για τις εκδόσεις macOS High Sierra 10.13 και macOS High Sierra 10.13.1. Όποιος τρέχει την beta έκδοση macOS High Sierra 10.13.2, θα πρέπει να περιμένει κάποια ξεχωριστή διόρθωση ή να ακολουθήσει τις οδηγίες εδώ, για μια προσωρινή λύση, ενώ όσοι έχουν μείνει σε εκδόσεις macOS Sierra 10.12.6 ή παλαιότερες, δεν κινδυνεύουν.

Επιπλέον η εταιρία προχώρησε στην παρακάτω ανακοίνωση, σχετικά με το θέμα:

Quote

Security is a top priority for every Apple product, and regrettably we stumbled with this release of macOS.

When our security engineers became aware of the issue Tuesday afternoon, we immediately began working on an update that closes the security hole. This morning, as of 8 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.

We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.