Applen uusimmassa macOS-käyttöjärjestelmässä kriittinen haavoittuvuus

[Sampsa]

Turkkilainen ohjelmistokehittäjä Lemi Orhan Ergin paljasti eilen Twitterissä Applen macOS-käyttöjärjestelmästä erittäin kriittisen nollapäivähaavoittuvuuden.



Apple-tuelle osoittamassaan twiitissä Ergin kertoi, että kuka tahansa pystyy kirjautumaan root-pääkäyttäjätunnuksella sisään ilman salasanaa. Haavoittuvuus koskee macOS-käyttöjärjestelmän uusinta 10.13 High Sierra -versiota ja niitä jotka eivät ole kytkeneet pois käytöstä vieras-tunnusta tai asettaneet erikseen root-pääkäyttäjän salasanaa.

Erginin toimintaa on kritisoitu laajasti, sillä alalla vallitsevan yleisen käytännön mukaan vakavat nollapäivähaavoittuvuudet tulisi raportoida suoraan kehittäjälle eikä paljastaa ja näin altistaa miljoonia tietokoneita vaaraan.

Ergin on kirjoittanut selvityksen twiitistään ja kertoi hänen yrityksensä raportoineen bugin Applelle jo 23. marraskuuta. Lisäksi Ergin luuli haavoittuvuuden olevan tiedossa, koska siitä on kirjoitettu esimerkiksi Applen kehittäjäfoorumille jo 13. marraskuuta. Ergin selittää twiittinsä tarkoituksen olleen julkinen ihmettely, miksei Apple ollut vielä reagoinut haavoittuvuuteen.

Apple on antanut haavoittuvuudesta lausunnon, jonka mukaan se työstää parhaillaan päivitystä ja kehoittaa sillä välin käyttäjiä asettamaan root-käyttäjälle salasanan.

We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.​

Lisää aiheesta: Viestintävirasto

Huom! Foorumiviestistä saattaa puuttua kuvagalleria tai upotettu video.

Linkki alkuperäiseen uutiseen (io-tech.fi)

Palautelomake: Raportoi kirjoitusvirheestä

 

[jabbadap]

Kuulostaa kyllä todella idioottimaiselta. Devaajat olleet laiskoja ja käytäneet roottia ilman passua, joka on sitten unohtunut lopulliseen versioon tai jotain muuta vastaavaa.

 

[nnaku]

Tämä on jo todella paha, koska etänä...

 

[salu-pertti]

Kuulostaa kyllä todella idioottimaiselta. Devaajat olleet laiskoja ja käytäneet roottia ilman passua, joka on sitten unohtunut lopulliseen versioon tai jotain muuta vastaavaa.

Defaultina macOS:ssä root-käyttäjä on disabloituna. Tämän bugin takia jostain omituisesta syystä root-käyttäjä vaihtuu enabled-tilaan, vaikka tuolla kirjautumisetoiminnolla ei pitäisi näin ulkopuolisen näkökulmasta olla mitään pääsyä sellaiseen asetukseen.

 

[itarumaa]

Aivan käsittämätöntä typeryyttä ja vielä pahempaa on jos Apple on oikeasti tiennyt tuosta jo pidemmän aikaa. En kyllä ymmärrä miten tuon tason moka voi mennä läpi lopulliseen tuotteeseen asti.

 

[Vipu]

FaceID root!

 

[user9999]

Saa nähdä monta vuorokautta menee kun julkaisevat päivityksen.

 

[IcePen]

Nykyaikana kaikkien systeemien joiden turvallisuus perustuu salasanaan pitäisi toimia niin että se systeemi vaatii käyttöönotonyhteydessä käyttäjää tekemään uuden yksisöllisen salasanan pitäisi olla itsestäänselvyys, se että Apple tahallaan jättää tämän perusvaatimuksen täyttämättä on törkeää.

Ts kerta Applen koneessa on Root käyttäjä (vaikka kirjautumien oletuksena disabloitu) sille Roott käyttäjälle pitäisi koneen käyttöönoton yhteydessä vaatia tekemään yksilöllinen salasana.

 

[user9999]

Päivitys julkaistu:
About the security content of Security Update 2017-001

 

[hkultala]

Nykyaikana kaikkien systeemien joiden turvallisuus perustuu salasanaan pitäisi toimia niin että se systeemi vaatii käyttöönotonyhteydessä käyttäjää tekemään uuden yksisöllisen salasanan pitäisi olla itsestäänselvyys, se että Apple tahallaan jättää tämän perusvaatimuksen täyttämättä on törkeää.

Ts kerta Applen koneessa on Root käyttäjä (vaikka kirjautumien oletuksena disabloitu) sille Roott käyttäjälle pitäisi koneen käyttöönoton yhteydessä vaatia tekemään yksilöllinen salasana.

Ei.

Käyttöjärjestelmässä pyörii ziljoona erilaista apuprosessia ja palvelua.

On oikein tehtyä tietoturvaa, että näillä kullakin on eri käyttäjätunnukset, jolloin yhteen murtautuminen ei mahdollista murtautumista koko koneeseen.

Olisi aivan järjetöntä, että käyttäjän pitäisi alkaa konetta asentaessaan asettaa salasanoja kymmenille eri palveluille, joiden nimissä käyttäjän ei koskaan kuulu loginnata.

Se, että tällaisella "palvelutunnuksella" salasanaa ei ole eikä sillä palvelutunnuksella voi loginnata on periaatteeellisesti juuri oikea ratkaisu.


Tässä on kyse ihan toteutusbugista, ei periaatteellisesta ongelmasta. Toki testauksen olisi pitänyt napata tällaiset, todella huonoa testausta applelta, näin kriittisesti tietoturvaan liittyvät ominaisuuden pitäisi miettiä ja testata perusteellisesti eikä niissä vaan pitäisi saada päästää tällaisia läpi.

 

[nnaku]

Ei.

Käyttöjärjestelmässä pyörii ziljoona erilaista apuprosessia ja palvelua.

On oikein tehtyä tietoturvaa, että näillä kullakin on eri käyttäjätunnukset, jolloin yhteen murtautuminen ei mahdollista murtautumista koko koneeseen.

Olisi aivan järjetöntä, että käyttäjän pitäisi alkaa konetta asentaessaan asettaa salasanoja kymmenille eri palveluille, joiden nimissä käyttäjän ei koskaan kuulu loginnata.

Se, että tällaisella "palvelutunnuksella" salasanaa ei ole eikä sillä palvelutunnuksella voi loginnata on periaatteeellisesti juuri oikea ratkaisu.


Tässä on kyse ihan toteutusbugista, ei periaatteellisesta ongelmasta. Toki testauksen olisi pitänyt napata tällaiset, todella huonoa testausta applelta.

Joo ei helvetissä mitään perus-perttejä pidä päästää määräämään rootille tai muille salasanattomille käyttäjille salasanoja luokkaa "Salasana123".

 

[jsa]

Silleen tietty ihan jees jos jollain valmiilla accountilla voi etänäkin liipasta ineen laitteeseen. Nyt on osattu.

 

[pq]

Mistäköhän lähtien macOS ei ole osannut disabloida automaagiupdateja?

This morning, as of 8 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.

Lähde: Apple Releases macOS High Sierra Security Update to Fix Root Password Vulnerability

 

[user9999]

Ei menny ihan putkeen tuo korjaus. Joillakin ongelmia:
Repair file sharing after Security Update 2017-001 for macOS High Sierra 10.13.1

 

[jmjh]

Apple-tuelle osoittamassaan twiitissä Ergin kertoi, että kuka tahansa pystyy kirjautumaan root-pääkäyttäjätunnuksella sisään ilman salasanaa. Haavoittuvuus koskee macOS-käyttöjärjestelmän uusinta 10.13 High Sierra -versiota ja niitä jotka eivät ole kytkeneet pois käytöstä vieras-tunnusta tai asettaneet erikseen root-pääkäyttäjän salasanaa.

Oliko tämä guest account aktiivisuus myös oleellinen osa bugia että se "toimii"? Jos oli, niin oletuksenahan guest account on myös poissa päältä, joten voi olla että tämä nyt ei isoa osaa käyttäjistä lopulta vaikuttanut ja sen takia päässyt testauksista läpi.

 

[hkultala]

Oliko tämä guest account aktiivisuus myös oleellinen osa bugia että se "toimii"? Jos oli, niin oletuksenahan guest account on myös poissa päältä, joten voi olla että tämä nyt ei isoa osaa käyttäjistä lopulta vaikuttanut ja sen takia päässyt testauksista läpi.

Juuri päin vastoin:

Ensinnäkin, guest-tunnusta ei millään tavalla tarvita tuon bugin hyödyntämiseen:
Toisekseen: Se guest-tunnus oli todennäkösiesti disabloitu samalla tavalla kuin suora root-loginnikin, jolloin tuo sama bugi myös enabloi sen, ilman salasanaa.

 

[jmjh]

Juuri päin vastoin:

Ensinnäkin, guest-tunnusta ei millään tavalla tarvita tuon bugin hyödyntämiseen:
Toisekseen: Se guest-tunnus oli todennäkösiesti disabloitu samalla tavalla kuin suora rooit-loginnikin, jolloin tuo sama bugi myös enabloi sen, ilman salasanaa.

Okei, sitten oli harhaanohtava uutisointi. No anyway, vähän aikaa sitten tuli ilmoitus että tarvittava päivitys asentui automaagisesti.

 

[salu-pertti]

Tässä 10.13-versiossa nimenomaan login-ruutuun ilmestyi Guest User (mikä ei kuitenkaan ole uusi ominaisuus.) Asetuksista riippuen siinä ei pääse valitsemaan kirjoittamalla root-tunnusta suoraan.

Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.

 

[jmjh]

Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.

ömm minulla on FileVault ja Find My Mac päällä, mutta Guest kutenkin disabloituna (tai ainakin Users&Groups Guestin on "off").

 

[salu-pertti]

Guest Userin disabloimisella on yllättäviä vaikutuksia: Find My Mac -toiminto, jolla voi etsiä esim. varastettua konetta, tarvitsee tuon. Samoin FileVault-salaus enabloi tuon.

ömm minulla on FileVault ja Find My Mac päällä, mutta Guest kutenkin disabloituna (tai ainakin Users&Groups Guestin on "off").

Näemmä macOS::ssä on kaksi erillistä Guest User accountia. Toinen on oikea käyttäjätili. Toinen on pseudo-account, jolla voi käyttää vain Safaria, ja jolla ei ole esim. kotihakemistoa. Oikeaa Guest Useria ei voi käyttää salatulla levyllä ollenkaan. Tuon pseudo-accountin taustalla on idea, että varas/löytäjä menisi verkkoon sen kautta ja Find My Macilla voisi siten löytää koneen. Kumpikin on mahdollista disabloida, vaikka käyttäisi em. ominaisuuksia.
https://discussions.apple.com/thread/7299990?start=0&tstart=0
https://apple.stackexchange.com/questions/301106/why-do-i-have-two-guest-users