Apple a publié une mise à jour logicielle pour le bogue de sécurité dans le système d'exploitation MacOS 10.13.1 High Sierra.
Cette vulnérabilité qui permet à n'importe qui d'accéder au plus haut niveau d'accès à votre Mac en tapant simplement "racine” dans le champ du nom d'utilisateur sans mot de passe a été divulgué mardi par un développeur nommé développeur Lemi Orhan Ergin publiquement sur Twitter.
Apple a immédiatement publié mercredi une mise à jour de sécurité pour cette vulnérabilité majeure mais stupide identifiée comme CVE-2017-13872, via Mise à jour de sécurité 2017-001 pour macOS 10.13.1. La mise à jour est désormais disponible en téléchargement dans le Mac App Store. Cependant, Apple a déclaré qu'il commencerait automatiquement à installer le correctif sur tous les Mac exécutant macOS High Sierra 10.13.1, sauf si votre PC exécute la version bêta 10.13.2. Ces utilisateurs doivent attendre la publication de la prochaine version.
Voici le journal des modifications:
Disponible pour: MacOS High Sierra 10.13.1
Pas affecté: macOS Sierra 10.12.6 et versions antérieures
Conséquences: un attaquant peut être capable de contourner l'authentification de l'administrateur sans fournir le mot de passe de l'administrateur.
Description: une erreur de logique existait dans la validation des informations d'identification. Cela a été résolu avec une validation améliorée des informations d'identification.
CVE-2017-13872
Une fois la mise à jour installée, le numéro de build pour macOS passera de 17B48 à 17B1002. Il ne nécessite pas de redémarrage.
S'excusant pour cette faille de sécurité majeure, Apple a déclaré dans un communiqué que « la sécurité est une priorité absolue pour chaque produit Apple, et nous avons malheureusement trébuché avec cette version de macOS.
« Lorsque nos ingénieurs en sécurité ont pris connaissance du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui comble la faille de sécurité. Ce matin, à partir de 8 heures du matin, la mise à jour est disponible en téléchargement, et à partir d'aujourd'hui, elle sera automatiquement installée sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra.
"Nous regrettons beaucoup cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour la publication de cette vulnérabilité et pour l'inquiétude qu'elle a causée. Nos clients méritent mieux. Nous auditons nos processus de développement pour éviter que cela ne se reproduise. »
