cover040703

High Sierra 磁盘工具直接显示加密 APFS 密码,苹果火速更新修补

  • 浏览次数 5014
  • 喜欢 1
  • 评分 12345

据外媒报道,巴西软件开发者 Matheus Mariano  于近期发现 macOS High Sierra 系统存在重大安全漏洞,系统的磁盘工具直接将加密 APFS 宗卷密码明文显示出来。随后,苹果于 10 月 6 日发布了 macOS High Sierra 补充更新。

调查显示,在创建加密 APFS 宗卷时,设置密码以及提示,卸载并重新挂起这个分区,会弹出提示,要求用户输入密码。这时,点击显示密码提示功能后,明文密码会直接显示,而不是刚才设置的密码提示。经过测试发现,2016 款 MacBook Pro 运行 macOS High Sierra 10.13 以及10.13.1 测试版时,这个 Bug 依然存在。这个问题只影响配备了 SSD 的 Mac,因为目前 APFS 只支持 SSD。此外,Bug 与磁盘工具有关,因为使用终端创建加密 APFS 宗卷时,不会直接显示密码。

正因为发生了如此重大的安全 Bug,苹果才立刻决定推出 High Sierra 补充更新解决问题。与此同时,苹果也修复了 macOS High Sierra 安装包,这意味着新安装的 High Sierra 不会出现这样的问题。不得不说,这次直接明文显示密码的 Bug,实在太耐人寻味了。

1

苹果发布了 macOS High Sierra 10.13 补充更新,这也是自 macOS High Sierra 正式版上个月发布之后,迎来的首个更新。macOS High Sierra 10.13 补充更新可以通过 Mac App Store 完成更新。macOS High Sierra 10.13 补充更新修复了可以将加密的 APFS 文件密码在磁盘工具中暴露为明文的安全问题。苹果还分享了一份支持文档,帮助用户保护 macOS High Sierra 系统中的数据。在升级之前,macOS High Sierra 的磁盘工具会将密码直接明文显示,原本显示的应该是密码提示。

2

由于硬盘已经是加密的 APFS ,想要修复这个 bug,过程比较麻烦,包括安装补充升级,对受影响的分区进行备份,抹掉磁盘,重新格式化为 APFS,然后转换成加密的 APFS,并最终将数据恢复。这次升级还修复了钥匙串中密码可能被第三方引用轻松偷取等问题。High Sierra 10.13 补充更新还修复了使用 Adobe InDesign 时光标图形错误,并解决了无法从“邮件”中的雅虎账户中删除电子邮件的问题。

稿源:cnBeta、MacX,封面源自网络;

hackernews_foot