macOS High Sierra 昨日爆出帳號安全漏洞,可以讓使用者不需要管理者密碼,任何人都能以「root」作為使用者帳號登入,對此,蘋果也於周三發出更新程式,並指出此漏洞是「身分驗證過程中的邏輯錯誤」,讓攻擊者可以繞過管理員驗證機制,並呼籲用戶儘速安裝更新以修補此漏洞。
由於一名土耳其使用者在 Twitter 宣稱發現 macOS High Sierra 帳號安全漏洞,在此漏洞下,可以讓使用者不需要管理者密碼就能登入 Mac,任何人都能以「root」作為使用者帳號登入,順利取得系統管理控制權限,可說是 macOS High Sierra 最大系統安全漏洞。不過,受影響僅限於 High Sierra 版本用戶,像是 macOS 10.13.0、macOS 10.13.1、macOS 10.13.2 beta 在未修補情況下都會有這項嚴重安全漏洞,並不影響之前版本,包括 Sierra 及更早之前的 macOS。
對此 macOS High Sierra 帳號安全漏洞,蘋果也立即推出2017-001安全更新,並指出編號 CVE-2017-13872 的漏洞是「身分驗證過程中的邏輯錯誤」,能讓攻擊者繞過管理員驗證機制,因此安全更新已經強化身分驗證以修補漏洞,並呼籲用戶儘速安裝更新。
同時,蘋果也透過媒體對外發表聲明,就此事所帶來的影響向所有 Mac 用戶道歉。蘋果聲明如下:
想看小編精選的3C科技情報&實用評測文,快來加入《T客邦》LINE@安全對每一款蘋果產品來講都是至關重要的,很遺憾我們在這次的 macOS 更新上犯了錯誤。當我們的安全工程師在昨天下午意識到這個問題的時候,我們立刻開始著手準備更新並修補漏洞。今晨 8 點,安全更新已經推出,從現在開始更新將自動安裝在運行 macOS High Sierra 10.13.1 的系統上。我們十分遺憾出現了此錯誤,我們向所有 Mac 用戶道歉,既對帶來這樣一個漏洞表示歉意,也對帶來的關注表示歉意。我們正在審核我們的開發流程,防止這種情況再次發生。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!