Мінорне оновлення macOS High Sierra відміняє дію патча вразливості, що дозволяла отримати root-права


Дізнайтесь більше про нові кар'єрні можливості в EchoUA. Цікаві проекти, ринкова оплата, гарний колектив. Надсилайте резюме та приєднуйтеся до нас.

Коли компанії рівня Apple оперативно реагують на знайдені критичні вразливості у своїх продуктах, то багато хто уславлює їх за блискавичне надання захисту користувачам. За винятком ситуацій, коли випущений патч для усунення будь-якої вразливості вимагає власного виправлення.

Патч вимагає нового патча

Подібне сталося з виправленням root-уразливості у macOS High Sierra. Apple випустила скачуване оновлення протягом 18 годин. Але, як стало відомо виданню WIRED, безліч користувачів Mac, скачавши виправлення на останню версію OC 10.13.0 з подальшим оновленням на High Sierra 10.13.1, знову зіткнулися з root-проблемою. Проте вона зникає при перезавантаженні комп’ютера. Однак користувачів найбільше розсердив  брак інформації про необхідність перезавантаження комп’ютера.

Думки експертів

Це дуже серйозна проблема. Всі говорили: “Агов, дивіться, Apple дуже швидко відреагувала на виявлену вразливість, випустивши необхідний патч. Слава!”Однак щойно ти оновлюєшся на версію 10.13.1 High Sierra, вразливість повертається. Адже ніхто цього не знав!

Фолькер Чартьє, інженер-програміст енергетичної компанії Innogy

За словами Томаса Ріда, дослідника проблем безпеки компанії MalwareBytes, навіть якщо б користувачі High Sierra знали, що їм необхідно перевстановити новий патч після переходу на версію 10.13.1, вони б все одно залишилися вразливими. І все через несвоєчасне повідомлення про необхідність перезавантаження комп’ютера.

Я проробляв цю послідовність дій з установкою патча на 10.13.0, переходом на 10.13.1 і установкою патча вже на нову версію та щоразу помічав: проблема з root-правами залишається. Проте після перезавантаження комп’ютера, вона просто зникала. Багато хто не перезавантажує свій комп’ютер місяцями. Це дуже погана новина.

Кріс Франсон, технічний директор Північно-східного університету

Реакція Apple

Зауважимо, що 2 грудня Apple все ж додала інформацію про необхідність перезавантаження  комп’ютера на сторінку  патча. Зрозуміло, що знайдений баг не настільки важливий, як той, для якого  патч і було випущено. Ймовірно, більшість користувачів просто не помітили його, оскільки своєчасно перейшли на 10.13.1 і перезавантажують свої комп’ютери регулярно.

Тривожна тенденція

Проте помилка в патчі доповнює тривожну картину проблем, пов’язаних з High Sierra. Виправлення root-уразливості було проведене в два етапи: перша версія патча порушувала деякі функції обміну файлами в ОС. До офіційного виходу на ринок ОС у ній була виявлена проблема системи захисту ядра (Secure Kernel Extension Loading – SKEL). У день виходу High Sierra була знайдена можливість обійти захист і отримати доступ до зв’язки ключів. Після цього, також в оперативному порядку, довелося виправляти XSS-уразливість, що дозволяла зломщикам обійти захист і помістити в систему шкідливий JavaScript-код.

Той, хто терміново випускає патчі, може припуститися помилки. Однак зараз питання полягає в тому, чим насправді займається відділ забезпечення якості Apple? Я не знаю, що там відбувається, якщо подібні помилки проходять повз них.

Томас Рід

Джерело: WIRED

Київ, Харків, Одеса, Дніпро, Запоріжжя, Кривий Ріг, Вінниця, Херсон, Черкаси, Житомир, Хмельницький, Чернівці, Рівне, Івано-Франківськ, Кременчук, Тернопіль, Луцьк, Ужгород, Кам'янець-Подільський, Стрий - за статистикою саме з цих міст програмісти найбільше переїжджають працювати до Львова. А Ви розглядаєте relocate?


Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *