В первую неделю декабря компания Apple выпустила один за другим несколько обновлений для систем безопасности MacBook, iPhone, iWatch, Apple TV и браузера Safari. Самое крупное из них — новая версия macOS High Sierra 10.13.2, которая улучшает стабильность и работоспособность системы, закрывает критическую уязвимость CVE-2017-13872 и исправляет две другие ошибки.

Баг, позднее получивший название IAmRoot, обнаружил 28 ноября турецкий разработчик и эксперт по информационной безопасности Леми Орхан Эргин (Lemi Orhan Ergin). У себя твиттере он сообщил, что любой человек, у которого есть физический доступ к компьютеру с macOS, может без ввода пароля получить права на выполнение каких угодно операций. Для этого в разделе «Пользователи и группы» нужно нажать на кнопку с замком, ввести логин root и оставить поле пароля пустым. Несколько кликов по кнопке «Снять защиту» активируют права главного администратора.

Разработчики Apple сразу же признали наличие проблемы и в течение суток выпустили заплатку, которая автоматически, не требуя подтверждения со стороны пользователя, установилась на всех компьютерах с последней версией операционной системы.

«Безопасность — главный приоритет для каждого продукта Apple, но, к сожалению, мы допустили ошибку в этой версии macOS, — отметили представители компании в официальном пресс-релизе. — Мы приносим извинения всем пользователям Mac как за саму возможность этой уязвимости, так и за уровень озабоченности, который она вызвала».

Однако это обновление безопасности привело к возникновению другой проблемы: владельцы Mac не могли аутентифицироваться или подключиться к общим папкам при использовании File Sharing. Разработчикам пришлось опубликовать подробную инструкцию, в которой пошагово описывалось, как восстановить функционирование совместного использования файлов.

Наряду с этим некоторые пользователи, которые установили патчи на версию macOS 10.13.0, после обновления системы до High Sierra 10.13.1 обнаруживали, что проблема с root-доступом появилась снова. При этом повторная установка заплатки не давала никакого результата, пока компьютер не перезагружали. Поясняющий комментарий появился на официальном сайте Apple только после того, как на проблему указали IT-специалисты.

У владельцев мобильных устройств Apple тоже возникли проблемы. Около полуночи 2 декабря некоторые iPhone стали сами по себе неоднократно перезагружаться. Баг был связан с работой сторонних приложений, которые при помощи Daily Notifications периодически посылают пользователю уведомления. Производитель исправил эту ошибку в очередном обновлении операционной системы iOS до версии 11.2, которое вышло раньше обычного — не во вторник, а в субботу, 2 декабря.

Вышедшие один за другим патчи, а также новая версия macOS High Sierra 10.13.2 закрывают возникшие за последние две недели проблемы в системах безопасности Apple.

Категории: Главное, Кибероборона, Уязвимости