Apple rilascia un aggiornamento di sicurezza per risolvere un bug di accesso nel sistema operativo macOS High Sierra

Apple sta aggiornando automaticamente i Mac per risolvere la vulnerabilità di accesso ‘root’

Apple mercoledì ha rilasciato una patch di emergenza che ha risolto un imbarazzante bug di accesso nel suo sistema operativo macOS 10.13.1 High Sierra.

La vulnerabilità è stata divulgata da un utente martedì su Twitter. Il difetto consentiva a un utente di ottenere accesso da amministratore al PC senza la password del proprietario semplicemente utilizzando ‘root’ come nome utente e facendo clic sul pulsante di sblocco due volte per accedere.

La grave vulnerabilità è stata identificata come CVE-2017-13872, che è stata corretta da Apple tramite l’Aggiornamento di Sicurezza 2017-001 per macOS 10.13.1 mercoledì. Mentre l’aggiornamento di sicurezza è ora disponibile per il download dal Mac App Store, Apple ha dichiarato che installerà automaticamente la patch su tutti i Mac che eseguono macOS High Sierra 10.13.1. Tuttavia, se il tuo dispositivo sta eseguendo la beta 10.13.2, dovrai probabilmente attendere fino al rilascio della prossima build.

Ecco il changelog:

Disponibile per: macOS High Sierra 10.13.1

Non impattato: macOS Sierra 10.12.6 e versioni precedenti

Impatto: Un attaccante potrebbe essere in grado di bypassare l’autenticazione dell’amministratore senza fornire la password dell’amministratore

Descrizione: Esisteva un errore logico nella validazione delle credenziali. Questo è stato risolto con una validazione delle credenziali migliorata.

CVE-2017-13872

Il numero di build per macOS dovrebbe essere 17B1002 dopo aver installato il nuovo aggiornamento, che è cambiato da 17B48. Non richiede un riavvio.

In una dichiarazione rilasciata a MacRumors, Apple si è scusata per la vulnerabilità:

“La sicurezza è una priorità assoluta per ogni prodotto Apple e, sfortunatamente, abbiamo inciampato con questo rilascio di macOS.

“Quando i nostri ingegneri della sicurezza sono stati a conoscenza del problema martedì pomeriggio, abbiamo immediatamente iniziato a lavorare su un aggiornamento che chiude la falla di sicurezza. Questa mattina, a partire dalle 8, l’aggiornamento è disponibile per il download e, a partire da oggi pomeriggio, sarà installato automaticamente su tutti i sistemi che eseguono l’ultima versione (10.13.1) di macOS High Sierra.

“Ci dispiace molto per questo errore e ci scusiamo con tutti gli utenti Mac, sia per aver rilasciato con questa vulnerabilità sia per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo auditando i nostri processi di sviluppo per aiutare a prevenire che ciò accada di nuovo.”

Fonte: Neowin