2017年11月29日
苹果公司已经将macOS High
Sierra的补丁赶到苹果安全更新网站。根据这个网页,一个漏洞允许攻击者“在不提供管理员密码的情况下绕过管理员身份验证”。
亲爱的@AppleSupport,我们注意到MacOS High Sierra的一个巨大的安全问题。任何人都可以点击登录按钮几次后用空密码登录为“root”。你知道吗@苹果?
- Lemi Orhan Ergin(@lemiorhan)2017年11月28日
(最初的鸣叫宣布问题)
开发人员Lemi Orhan Ergin第一次在11月28日星期二推出了@AppleSupport的问题。基本上,任何用最新的macOS登录到计算机的人都可以进入系统偏好设置,输入“root”作为用户名,将密码留空,管理权限。即使是以访客身份登录的用户也可以因为该错误而获得管理权限。
苹果公司迅速响应了推特,并在不到24小时内发布了更新。在最初的tweet和修复之间的时间,有帮助的开发人员就如何更改root密码和禁用访客帐户访问提出了建议。
可以通过访问App Store并单击更新来找到该补丁。到目前为止,许多受影响的用户会在桌面上看到通知。苹果呼吁用户尽快安装更新,并且更新将在今天晚些时候自动安装,以供尚未完成的用户使用。更新不需要重新启动即可生效。
苹果显然很尴尬的错误,并向各个网点发表以下声明:
“安全是每个苹果产品的重中之重,遗憾的是我们偶然发现了这个macOS版本。
当我们的安全工程师星期二下午知道这个问题时,我们立即开始了一个关闭安全漏洞的更新。今天上午,从上午8点开始,更新可以下载,今天晚些时候它会自动安装在运行macOS High Sierra最新版本(10.13.1)的所有系统上。
我们非常遗憾这个错误,我们向所有的Mac用户表示歉意,包括发布这个漏洞以及引起的关注。我们的客户应该得到更好。我们正在审核我们的开发流程,以防止这种情况再次发生。“
事件显示了所有电脑用户需要的平衡行为。软件更新修复了漏洞,但也可能导致新的错误。不过,大多数专家建议尽快安装软件更新。而且,如果你还没有安装High Sierra 10.13.1的补丁程序,现在是时候这么做了。