Un chercheur turc en sécurité a exposé un bug majeur dans macOS High Sierra. La faille permet à un attaquant d'accéder à une machine sans mot de passe - ainsi que d'accéder à de puissants droits d'administrateur. Apple a publié un correctif pour corriger la vulnérabilité affectant presque tous les systèmes macOS High Sierra.
Les systèmes non corrigés, cependant, restent peu sûrs ...
Quel est le bug?
La faille a été dévoilée par le développeur turc Lemi Orhan Ergan. Il permettait à n'importe qui d'obtenir tous les droits d'administration sur une machine macOS High Sierra en tapant simplement «root» comme nom d'utilisateur dans la boîte de dialogue d'authentification. Ensuite, en laissant le champ de mot de passe vide et en cliquant deux fois sur le bouton "Déverrouiller", un accès administratif complet est accordé.
Vous pouvez y accéder via Préférences Système> Utilisateurs et groupes> Cliquez sur le verrou pour apporter des modifications. Ensuite, utilisez "root" sans mot de passe. Et essayez-le plusieurs fois. Le résultat est incroyable! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
En théorie, avant le patch, si vous laissiez votre Mac sans surveillance, quelqu'un pourrait facilement accéder et détruire votre machine. Par exemple, ils peuvent installer des logiciels malveillants 5 façons faciles d'infecter votre Mac avec Malware 5 façons faciles d'infecter votre Mac avec des logiciels malveillants Vous pourriez penser qu'il est assez difficile d'infecter votre Mac avec des logiciels malveillants, mais il y a toujours des exceptions. Voici cinq façons de salir votre ordinateur. En savoir plus, capturer les mots de passe 5 façons faciles d'infecter votre Mac avec Malware 5 façons simples d'infecter votre Mac avec des logiciels malveillants Vous pourriez penser qu'il est assez difficile d'infecter votre Mac avec des logiciels malveillants, mais il y a toujours des exceptions. Voici cinq façons de salir votre ordinateur. Lire la suite en utilisant Keychain Access Si vous utilisez Keychain iCloud pour synchroniser les mots de passe sur Mac et iOS? Faut-il utiliser iCloud Keychain pour synchroniser les mots de passe sur Mac et iOS? Si vous utilisez principalement des produits Apple, pourquoi ne pas utiliser gratuitement le gestionnaire de mots de passe de l'entreprise? Lire la suite, supprimer ou ruiner votre identifiant Apple, et plus encore.
Mais Apple a résolu le problème, non?
Comme j'ai écrit cet article, Apple a publié la mise à jour de sécurité pour corriger le problème. L'instruction de mise à jour du contenu de sécurité d'Apple indique "Une erreur de logique existait dans la validation des informations d'identification. Cela a été résolu avec une validation améliorée des informations d'identification. "
Le correctif est déjà disponible sur le Mac App Store. En outre, la mise à jour s'appliquera automatiquement aux Mac fonctionnant sous High Sierra 10.13.1 à partir du mercredi 29 novembre. Apple a développé la situation avec la déclaration suivante:
"La sécurité est une priorité pour tous les produits Apple, et malheureusement nous avons trébuché avec cette version de macOS.
"Lorsque nos ingénieurs de sécurité ont pris connaissance du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui ferme le trou de sécurité. Ce matin, à partir de 8h du matin, la mise à jour est disponible en téléchargement, et à partir d'aujourd'hui elle sera automatiquement installée sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra.
"Nous regrettons grandement cette erreur, et nous nous excusons auprès de tous les utilisateurs Mac, à la fois pour la libération de cette vulnérabilité et pour l'inquiétude qu'elle a causé. Nos clients méritent mieux. Nous vérifions nos processus de développement pour éviter que cela ne se reproduise. "
Mais ils savaient déjà à ce sujet?
Malheureusement pour Apple, cette question avait déjà fait surface - mais n'a reçu aucune action. Un membre du forum de support d'Apple a posté les détails exacts du bug il y a plus de deux semaines. Le message et les réponses d'origine semblent considérer le bogue majeur comme une fonctionnalité de dépannage potentielle plutôt que comme une menace de sécurité critique.
"La faille de sécurité a été à l'origine détaillée comme une solution à un problème de connexion d'utilisateur sur le forum de support de développeur d'Apple." Mec, l'exploit était sur les internets. Que diriez-vous de laisser tout le monde Twitter se protéger potentiellement de ce bug en définissant un mot de passe root? https://t.co/sGLJW1pSOq
- elizabeth j allen (@ej_allen) 29 novembre 2017
Qu'est-ce que je fais maintenant?
Eh bien, la première chose à faire est de vérifier la mise à jour du système. Apple était prêt à déployer la mise à jour automatique des correctifs à un moment donné au cours des dernières 24 heures. Si la mise à jour automatique n'est pas apparue, vous devriez vous diriger vers le Mac App Store et y rechercher la mise à jour. Vous pouvez également cliquer sur ce lien.
Une fois la mise à jour téléchargée, installez immédiatement.
Ça ne marche pas
Si, pour une raison quelconque, la mise à jour ne s'installe pas, éteignez et rallumez votre système, puis réessayez. Apple a automatisé le processus.
Sinon, suivez ces étapes pour sécuriser votre système entre-temps:
- Ouvrir Spotlight, recherchez Directory Utility, sélectionnez l'option correspondante
- Cliquez sur le verrou pour apporter des modifications. entrez votre nom d'utilisateur et mot de passe pour le compte administratif
- Allez dans Menu> Modifier
- Sélectionnez Activer l'utilisateur racine . créer un mot de passe et vérifier
Ceci est, cependant, un arrêt de travail. Veuillez essayer d'installer la mise à jour officielle.
Yeux sur la Source
Comme Apple corrige le bug, les yeux se tournent vers Lemi Orhan Ergan. L'auto-décrit "fabricant de logiciels" reçoit des critiques pour ne pas adhérer aux directives de divulgation responsable Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Divulgation complète ou responsable: divulgation des vulnérabilités de sécurité Les vulnérabilités de sécurité dans les progiciels populaires sont découvertes en permanence, mais comment sont-ils signalés aux développeurs, et comment les hackers apprennent-ils les vulnérabilités qu'ils peuvent exploiter? Lire la suite . La divulgation responsable demande aux chercheurs en sécurité d'informer les entreprises sur les menaces à la sécurité afin de leur laisser le temps de corriger la faille. Une fois la faille établie, le chercheur est clair pour présenter ses découvertes au public.
CECI N'EST PAS UNE DIVULGATION RESPONSABLE. C'est extrêmement irresponsable, surtout pour une vulnérabilité de cette ampleur. Apple dispose d'un excellent système de divulgation, et son équipe est extrêmement réactive. S'IL VOUS PLAÎT ne fais pas des choses comme ça. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28 novembre 2017
Bien sûr, ce système ne fonctionne pas toujours comme prévu. Les entreprises ne répondent pas et les chercheurs en sécurité s'impatientent. Dans ces cas, la création d'un problème public force la main de l'entreprise, l'obligeant à réparer la menace de sécurité.
Après avoir reçu une quantité importante de critiques, Ergan a posté une riposte sur Medium. Il explique qu'il «n'est ni un hacker, ni un spécialiste de la sécurité», continuant «je me concentre uniquement sur des pratiques de codage sécurisées pendant la programmation, mais je ne peux jamais m'appeler un spécialiste de la sécurité».
Cher @AppleSupport, nous avons remarqué un problème de sécurité * ÉNORME * chez MacOS High Sierra. N'importe qui peut se connecter en tant que "root" avec un mot de passe vide après avoir cliqué plusieurs fois sur le bouton de connexion. Etes-vous au courant de cela @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
En toute justice, le bug a été discuté sur le forum de support d'Apple. En outre, Ergan affirme que ses collègues de la société de paiement Iyzico ont révélé la menace à Apple le 23 novembre - mais n'ont jamais reçu de réponse.
Les yeux sur la balle
De la source à l'entreprise Apple a-t-il laissé filer celui-ci à travers le net? En un mot, oui: surtout s'ils étaient au courant du bug comme le prétend Ergan. Malheureusement, nous ne connaissons pas la vérité, donc nous ne pouvons pas faire une évaluation solide de la situation.
Même après avoir subi leur deuxième mise à jour forcée en un an (toujours leur deuxième mise à jour de sécurité forcée), Apple ne devrait pas s'inquiéter. Les instances de macOS et de logiciels malveillants iOS sont en hausse Hausse des logiciels malveillants ciblés Apple - Voici ce qu'il faut surveiller en 2016 Augmentation des logiciels malveillants ciblés Apple - Voici ce qu'il faut surveiller en 2016 Le matériel Apple n'est plus un refuge contre les pirates informatiques, les logiciels malveillants et les rançongiciels et d'autres cyber-menaces. La première moitié de 2016 prouve que sans les précautions appropriées, vos appareils peuvent devenir des risques .... Lire la suite, mais Windows et Android restent les cibles principales Quel est le système d'exploitation mobile le plus sécurisé? Quel est le système d'exploitation mobile le plus sécurisé? Luttant pour le titre de système d'exploitation mobile le plus sécurisé, nous avons: Android, BlackBerry, Ubuntu, Windows Phone et iOS. Quel système d'exploitation est le meilleur pour se défendre contre les attaques en ligne? Lire la suite . En outre, Apple a un record de sécurité stellaire pour la plupart Le Guide de sécurité ultime de Mac: 20 façons de se protéger Le Guide de sécurité ultime de Mac: 20 façons de se protéger Ne soyez pas une victime! Sécurisez votre Mac aujourd'hui avec notre guide de sécurité exhaustif High Sierra. Lire la suite, comme en témoigne leur mise à jour rapide et efficace déployer pour réprimer la menace naissante.
Avez-vous été affecté par la faille de sécurité d'Apple? Ou la mise à jour est-elle arrivée assez rapidement pour vous empêcher de vous inquiéter? Faites-nous savoir vos pensées ci-dessous!