| 29 ноября 2017 г. — 8:17 PT
Обновление 30.11: Apple выпустила новую версию обновления с тем же номером версии, которая, по-видимому, устраняет проблему аутентификации общего доступа к файлам , вызванную первоначальным исправлением.
Если вы используете macOS High Sierra, пора как можно скорее обновить свой Mac. Apple выпустила обновление безопасности, которое устраняет уязвимость безопасности, обнаруженную вчера днем. Обновление доступно через Mac App Store.
Apple подробно описывает исправление здесь:
Обновление безопасности 2017-001
Выпущено 29 ноября 2017 г.
Directory Utility
Доступно для: macOS High Sierra 10.13.1
Не затронуто: macOS Sierra 10.12.6 и более ранние версии
Воздействие: злоумышленник может обойти аутентификацию администратора, не вводя пароль администратора
Описание: В проверке учетных данных была логическая ошибка. Это было устранено улучшенной проверкой учетных данных.
CVE-2017-13872
Когда вы установите Обновление безопасности 2017-001 на свой Mac, номер сборки macOS будет 17B1002. Узнайте, как найти версию и номер сборки macOS на своем Mac.
Если вам требуется учетная запись root-пользователя на вашем Mac, вы можете включить root-пользователя и изменить пароль root-пользователя.
Хотя уязвимость безопасности была довольно серьезной, Apple оперативно отреагировала, выпустив исправление менее чем через 24 часа после того, как оно стало общедоступным. Проблема не затронула более ранние версии macOS, хотя исправление для бета-версии macOS 10.13.2 пока не доступно, поскольку исправление (доступное для скачивания здесь) на данный момент применяется только к macOS 10.13.1.
Apple сделала следующее заявление для 9to5Mac после выпуска исправления программного обеспечения:
Безопасность является главным приоритетом для каждого продукта Apple, и, к сожалению, мы допустили ошибку с этим выпуском macOS.
Когда наши инженеры по безопасности узнали о проблеме во вторник днем, мы немедленно приступили к работе над обновлением, которое устраняет дыру в безопасности. Сегодня утром, по состоянию на 8 утра, обновление доступно для загрузки, и начиная с сегодняшнего дня оно будет автоматически установлено на всех системах, работающих под управлением последней версии (10.13.1) macOS High Sierra.
Мы глубоко сожалеем об этой ошибке и приносим извинения всем пользователям Mac как за выпуск с этой уязвимостью, так и за вызванное ею беспокойство. Наши клиенты заслуживают лучшего. Мы проводим аудит наших процессов разработки, чтобы помочь предотвратить подобные случаи в будущем.
https://twitter.com/apollozac/status/935908209453404160
Подпишитесь на 9to5Mac на YouTube для получения большего количества новостей об Apple: