Apple выпустили обновление безопасности для MacOS High Sierra

Компания Apple выпустила экстренное обновление недавно представленной High Sierra 10.13. Новая версиями направлена на исправление двух уязвимостей, которые были обнаружены в OS от Apple в то же время, что она была анонсирована.

Уязвимость с номером CVE-2017-7149 была найдена в системе сохранения паролей в зашифрованных томах APFS — новой файловой системы, что оптимизирована для работы с Flash и SSD-накопителями.

Согласно отчёту Apple, уязвимость заключалась в том, что если при создании нового тома с помощью Disk Utility, пользователь выбирал опцию Password Hint, сохранялся пароль в виде подсказки, что после открыто отображался в окне разблокировки доступа к данным.

Уязвимость была обнаружена Матеусом Мариану из компании Leet Tech, и по его словам, это касалось лишь компьютеров Mac с SSD. Разработчики отмечает, что проблему можно решить очистку памяти подсказок и исправлением логики сохранения подсказок.

Пользователям же, рекомендуется не только установить обновление, но и убрать пароль-подсказку в Disk Utility. Смена пароля не поможет, так как это не меняет ключи шифрования.

Другая уязвимость в macOS High Sierra, которую Apple исправили в обновлении, позволяет злоумышленникам получить доступ к Keychain. Уязвимость обнаружил Патрик Уордл из компании Synack. Чтобы исправить эту проблема, Apple изменили подсказку Keychain Access, и теперь приложение спросит у пользователя пароль.

Источник: Apple