Applen uusimmassa macOS-käyttöjärjestelmässä kriittinen haavoittuvuus

Sampsa

Sysop
Ylläpidon jäsen
Team Tesla
Liittynyt
13.10.2016
Viestejä
12 660



Turkkilainen ohjelmistokehittäjä Lemi Orhan Ergin paljasti eilen Twitterissä Applen macOS-käyttöjärjestelmästä erittäin kriittisen nollapäivähaavoittuvuuden.



Apple-tuelle osoittamassaan twiitissä Ergin kertoi, että kuka tahansa pystyy kirjautumaan root-pääkäyttäjätunnuksella sisään ilman salasanaa. Haavoittuvuus koskee macOS-käyttöjärjestelmän uusinta 10.13 High Sierra -versiota ja niitä jotka eivät ole kytkeneet pois käytöstä vieras-tunnusta tai asettaneet erikseen root-pääkäyttäjän salasanaa.

Erginin toimintaa on kritisoitu laajasti, sillä alalla vallitsevan yleisen käytännön mukaan vakavat nollapäivähaavoittuvuudet tulisi raportoida suoraan kehittäjälle eikä paljastaa ja näin altistaa miljoonia tietokoneita vaaraan.

Ergin on kirjoittanut selvityksen twiitistään ja kertoi hänen yrityksensä raportoineen bugin Applelle jo 23. marraskuuta. Lisäksi Ergin luuli haavoittuvuuden olevan tiedossa, koska siitä on kirjoitettu esimerkiksi Applen kehittäjäfoorumille jo 13. marraskuuta. Ergin selittää twiittinsä tarkoituksen olleen julkinen ihmettely, miksei Apple ollut vielä reagoinut haavoittuvuuteen.

Apple on antanut haavoittuvuudesta lausunnon, jonka mukaan se työstää parhaillaan päivitystä ja kehoittaa sillä välin käyttäjiä asettamaan root-käyttäjälle salasanan.
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.

Lisää aiheesta: Viestintävirasto

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä
 
Viimeksi muokattu:
Liittynyt
04.11.2016
Viestejä
1 589
Kuulostaa kyllä todella idioottimaiselta. Devaajat olleet laiskoja ja käytäneet roottia ilman passua, joka on sitten unohtunut lopulliseen versioon tai jotain muuta vastaavaa.
 

nnaku

I'm object-oriented!
Liittynyt
28.11.2016
Viestejä
779


Tämä on jo todella paha, koska etänä... :facepalm:
 
Liittynyt
29.03.2017
Viestejä
39
Kuulostaa kyllä todella idioottimaiselta. Devaajat olleet laiskoja ja käytäneet roottia ilman passua, joka on sitten unohtunut lopulliseen versioon tai jotain muuta vastaavaa.
Defaultina macOS:ssä root-käyttäjä on disabloituna. Tämän bugin takia jostain omituisesta syystä root-käyttäjä vaihtuu enabled-tilaan, vaikka tuolla kirjautumisetoiminnolla ei pitäisi näin ulkopuolisen näkökulmasta olla mitään pääsyä sellaiseen asetukseen.
 
Liittynyt
18.10.2016
Viestejä
2 449
Aivan käsittämätöntä typeryyttä ja vielä pahempaa on jos Apple on oikeasti tiennyt tuosta jo pidemmän aikaa. En kyllä ymmärrä miten tuon tason moka voi mennä läpi lopulliseen tuotteeseen asti.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 100
Saa nähdä monta vuorokautta menee kun julkaisevat päivityksen.
 

IcePen

Typo Generaatroti ;-)
Tukijäsen
Liittynyt
17.10.2016
Viestejä
6 024
Nykyaikana kaikkien systeemien joiden turvallisuus perustuu salasanaan pitäisi toimia niin että se systeemi vaatii käyttöönotonyhteydessä käyttäjää tekemään uuden yksisöllisen salasanan pitäisi olla itsestäänselvyys, se että Apple tahallaan jättää tämän perusvaatimuksen täyttämättä on törkeää.

Ts kerta Applen koneessa on Root käyttäjä (vaikka kirjautumien oletuksena disabloitu) sille Roott käyttäjälle pitäisi koneen käyttöönoton yhteydessä vaatia tekemään yksilöllinen salasana.
 
Liittynyt
22.10.2016
Viestejä
11 399
Nykyaikana kaikkien systeemien joiden turvallisuus perustuu salasanaan pitäisi toimia niin että se systeemi vaatii käyttöönotonyhteydessä käyttäjää tekemään uuden yksisöllisen salasanan pitäisi olla itsestäänselvyys, se että Apple tahallaan jättää tämän perusvaatimuksen täyttämättä on törkeää.

Ts kerta Applen koneessa on Root käyttäjä (vaikka kirjautumien oletuksena disabloitu) sille Roott käyttäjälle pitäisi koneen käyttöönoton yhteydessä vaatia tekemään yksilöllinen salasana.
Ei.

Käyttöjärjestelmässä pyörii ziljoona erilaista apuprosessia ja palvelua.

On oikein tehtyä tietoturvaa, että näillä kullakin on eri käyttäjätunnukset, jolloin yhteen murtautuminen ei mahdollista murtautumista koko koneeseen.

Olisi aivan järjetöntä, että käyttäjän pitäisi alkaa konetta asentaessaan asettaa salasanoja kymmenille eri palveluille, joiden nimissä käyttäjän ei koskaan kuulu loginnata.

Se, että tällaisella "palvelutunnuksella" salasanaa ei ole eikä sillä palvelutunnuksella voi loginnata on periaatteeellisesti juuri oikea ratkaisu.


Tässä on kyse ihan toteutusbugista, ei periaatteellisesta ongelmasta. Toki testauksen olisi pitänyt napata tällaiset, todella huonoa testausta applelta, näin kriittisesti tietoturvaan liittyvät ominaisuuden pitäisi miettiä ja testata perusteellisesti eikä niissä vaan pitäisi saada päästää tällaisia läpi.
 

nnaku

I'm object-oriented!
Liittynyt
28.11.2016
Viestejä
779
Ei.

Käyttöjärjestelmässä pyörii ziljoona erilaista apuprosessia ja palvelua.

On oikein tehtyä tietoturvaa, että näillä kullakin on eri käyttäjätunnukset, jolloin yhteen murtautuminen ei mahdollista murtautumista koko koneeseen.

Olisi aivan järjetöntä, että käyttäjän pitäisi alkaa konetta asentaessaan asettaa salasanoja kymmenille eri palveluille, joiden nimissä käyttäjän ei koskaan kuulu loginnata.

Se, että tällaisella "palvelutunnuksella" salasanaa ei ole eikä sillä palvelutunnuksella voi loginnata on periaatteeellisesti juuri oikea ratkaisu.


Tässä on kyse ihan toteutusbugista, ei periaatteellisesta ongelmasta. Toki testauksen olisi pitänyt napata tällaiset, todella huonoa testausta applelta.
Joo ei helvetissä mitään perus-perttejä pidä päästää määräämään rootille tai muille salasanattomille käyttäjille salasanoja luokkaa "Salasana123".
 

jsa

Liittynyt
20.10.2016
Viestejä
636
Silleen tietty ihan jees jos jollain valmiilla accountilla voi etänäkin liipasta ineen laitteeseen. Nyt on osattu.
 
Liittynyt
18.10.2016
Viestejä
346
Apple-tuelle osoittamassaan twiitissä Ergin kertoi, että kuka tahansa pystyy kirjautumaan root-pääkäyttäjätunnuksella sisään ilman salasanaa. Haavoittuvuus koskee macOS-käyttöjärjestelmän uusinta 10.13 High Sierra -versiota ja niitä jotka eivät ole kytkeneet pois käytöstä vieras-tunnusta tai asettaneet erikseen root-pääkäyttäjän salasanaa.
Oliko tämä guest account aktiivisuus myös oleellinen osa bugia että se "toimii"? Jos oli, niin oletuksenahan guest account on myös poissa päältä, joten voi olla että tämä nyt ei isoa osaa käyttäjistä lopulta vaikuttanut ja sen takia päässyt testauksista läpi.
 
Liittynyt
22.10.2016
Viestejä
11 399
Oliko tämä guest account aktiivisuus myös oleellinen osa bugia että se "toimii"? Jos oli, niin oletuksenahan guest account on myös poissa päältä, joten voi olla että tämä nyt ei isoa osaa käyttäjistä lopulta vaikuttanut ja sen takia päässyt testauksista läpi.
Juuri päin vastoin:

Ensinnäkin, guest-tunnusta ei millään tavalla tarvita tuon bugin hyödyntämiseen:
Toisekseen: Se guest-tunnus oli todennäkösiesti disabloitu samalla tavalla kuin suora root-loginnikin, jolloin tuo sama bugi myös enabloi sen, ilman salasanaa.
 
Viimeksi muokattu:
Liittynyt
18.10.2016
Viestejä
346
Juuri päin vastoin:

Ensinnäkin, guest-tunnusta ei millään tavalla tarvita tuon bugin hyödyntämiseen:
Toisekseen: Se guest-tunnus oli todennäkösiesti disabloitu samalla tavalla kuin suora rooit-loginnikin, jolloin tuo sama bugi myös enabloi sen, ilman salasanaa.
Okei, sitten oli harhaanohtava uutisointi. No anyway, vähän aikaa sitten tuli ilmoitus että tarvittava päivitys asentui automaagisesti.
 
Liittynyt
29.03.2017
Viestejä
39
Tässä 10.13-versiossa nimenomaan login-ruutuun ilmestyi Guest User (mikä ei kuitenkaan ole uusi ominaisuus.) Asetuksista riippuen siinä ei pääse valitsemaan kirjoittamalla root-tunnusta suoraan.

Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.
 
Liittynyt
18.10.2016
Viestejä
346
Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.
ömm minulla on FileVault ja Find My Mac päällä, mutta Guest kutenkin disabloituna (tai ainakin Users&Groups Guestin on "off").
 
Liittynyt
29.03.2017
Viestejä
39
Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.
ömm minulla on FileVault ja Find My Mac päällä, mutta Guest kutenkin disabloituna (tai ainakin Users&Groups Guestin on "off").
Näemmä macOS::ssä on kaksi erillistä Guest User accountia. Toinen on oikea käyttäjätili. Toinen on pseudo-account, jolla voi käyttää vain Safaria, ja jolla ei ole esim. kotihakemistoa. Oikeaa Guest Useria ei voi käyttää salatulla levyllä ollenkaan. Tuon pseudo-accountin taustalla on idea, että varas/löytäjä menisi verkkoon sen kautta ja Find My Macilla voisi siten löytää koneen. Kumpikin on mahdollista disabloida, vaikka käyttäisi em. ominaisuuksia.
https://discussions.apple.com/thread/7299990?start=0&tstart=0
https://apple.stackexchange.com/questions/301106/why-do-i-have-two-guest-users
 
Toggle Sidebar

Statistiikka

Viestiketjut
247 912
Viestejä
4 321 669
Jäsenet
72 130
Uusin jäsen
urbanbreach

Hinta.fi

Ylös Bottom