Apple publikigis programan ĝisdatigon por la sekureca cimo en la operaciumo MacOS 10.13.1 High Sierra.
Ĉi tiu vundebleco, kiu permesas al iu ajn aliro akiri la plej altan nivelon de aliro al via Mac nur tajpante "radikon”En la uzantnoma kampo sen pasvorto estis malkaŝita marde de programisto nomata programisto Lemi Orhan Ergin publike ĉe Twitter.
Apple tuj publikigis sekurecan ĝisdatigon merkrede por ĉi tiu grava tamen stulta vundebleco identigita kiel CVE-2017-13872 Sekureca Ĝisdatigo 2017-001 por macOS 10.13.1. La ĝisdatigo nun elŝuteblas en Mac App Store. Tamen Apple diris, ke ĝi aŭtomate komencos instali la flikaĵon sur ĉiuj Mac-oj kun macOS High Sierra 10.13.1 krom se via komputilo funkcias kun la 10.13.2 beta. Ĉi tiuj uzantoj devas atendi ĝis la sekva versio estos publikigita.
Jen la ŝanĝregistro:
Havebla por: macOS High Sierra 10.13.1
Ne tuŝita: macOS Sierra 10.12.6 kaj pli fruaj
Efiko: Atakanto eble povus preterlasi aŭtentikajn administrantojn sen liveri la pasvorton de la administranto
Priskribo: Logika eraro ekzistis en la validigo de akreditaĵoj. Ĉi tio estis traktita kun plibonigita akredita validado.
CVE-2017-13872
Post kiam la ĝisdatigo estas instalita, la konstrua nombro por macOS ŝanĝiĝos de 17B48 al 17B1002. Ĝi ne postulas restartigi.
Pardonante ĉi tiun gravan sekurecan difekton, Apple diris en deklaro, ke "Sekureco estas ĉefa prioritato por ĉiu produkto de Apple, kaj bedaŭrinde ni faletis kun ĉi tiu eldono de MacOS.
"Kiam niaj sekurecaj inĝenieroj ekkonsciis pri la afero marde posttagmeze, ni tuj komencis prilabori ĝisdatigon, kiu fermas la sekurecan truon. Ĉi-matene, ekde la 8a matene, la ĝisdatigo estas elŝutebla, kaj ekde hodiaŭ ĝi estos aŭtomate instalita en ĉiuj sistemoj kun la plej nova versio (10.13.1) de macOS High Sierra.
"Ni tre bedaŭras ĉi tiun eraron kaj ni pardonpetas al ĉiuj Mac-uzantoj, kaj pro liberigo de ĉi tiu vundebleco kaj pro la maltrankvilo, kiun ĝi kaŭzis. Niaj klientoj meritas pli bonan. Ni kontrolas niajn evoluajn procezojn por helpi malebligi, ke tio okazu denove. "
