Phát hiện lỗi trên macOS High Sierra – App Store Preferences có thể bị mở khóa mà không cần mật khẩu
Chuyên gia bảo mật đã phát hiện ra một lỗ hổng bảo mật mới trên hệ điều hành macOS High Sierra, cho phép hacker mở khóa App Store System Preferences với bất kỳ mật khẩu nào (thậm chí là không có mật khẩu).
Một lỗi mật khẩu mới đã được phát hiện trong phiên bản mới nhất của macOS High Sierra cho phép bất kỳ ai cũng có thể truy cập vào máy Mac của bạn để mở App Store trong System Preferences với bất kỳ mật khẩu ngẫu nhiên nào hoặc thậm chí là không cần mật khẩu nào cả.
Tác động của lỗ hổng này không quá nghiêm trọng bằng lỗi đăng nhập root được tiết lộ trước đó có trong hệ điều hành dành cho máy tính để bàn của Apple, cho phép truy cập vào tài khoản quản trị để root đơn giản bằng cách nhập mật khẩu trống vào hệ điều hành macOS High Sierra 10.13.1.
Theo báo cáo trên Open Radar hồi đầu tuần, lỗ hổng này có ảnh hưởng đến macOS phiên bản 10.13.2 và yêu cầu kẻ tấn công phải đăng nhập với tài khoản cấp quản trị viên thì mới có thể khai thác lỗ hổng này.
Chuyên gia bảo mật đã kiểm tra lỗi trên máy tính xách tay Mac của ông vốn đã được cập nhật đầy đủ và nó hoàn toàn hoạt động bằng cách nhập mật khẩu trống cũng như bất kỳ mật khẩu ngẫu nhiên nào.
Nếu như đang sử dụng phiên bản mới nhất của macOS High Sierra, bạn hãy thử tự kiểm tra qua các bước sau:
Đăng nhập tài khoản quản trị viên (local administrator)
Vào System Preferences và sau đó là App Store
Nhấp vào biểu tượng ổ khóa (nhấp đúp vòa khóa nếu nó đã được mở khóa)
Nhập bất kỳ mật khẩu ngẫu nhiên nào (hoặc để trống) trong cửa sổ đăng nhập
Nhấp Mở khóa và xem thử hệ thống hoạt động thế nào.
Sau khi hoàn tất, bạn sẽ có quyền truy cập vào cài đặt App Store, cho phép bạn sửa đổi các cài đặt như vô hiệu hóa cập nhật macOS tự động, cập nhật ứng dụng, các tập tin dữ liệu hệ thống và thậm chí là cập nhật bảo mật vá lỗi bảo mật.
Các chuyên gia cũng thử sao chép lại cùng một lỗi trên phiên bản phát triển beta 4 của macOS High Sierra 10.13.3 nhưng lại không hoạt động, cho thấy Apple rất có thể đã biết về vấn đề và sẽ cung cấp bản sửa lỗi trong bản cập nhật phần mềm sắp tới cho người dùng.
Apple cũng đã vá một lỗ hổng tương tự vào tháng 10 trong macOS và nó cũng có ảnh hưởng đến khối lượng mật mã sử dụng trong APFS trong phần gợi ý mật khẩu đã cho thấy mật khẩu thực của người dùng trong văn bản thuần.
Minh Hương
TIN CÙNG CHUYÊN MỤC
Đọc nhanh tài liệu Word với tính năng AI...
Google tung bản vá bảo mật khẩn cấp cho ...
Phần mềm độc hại Android mới NGate đánh ...
Thời đại AI lên ngôi, ảnh chụp không hẳn...
Trung tâm siêu dữ liệu đang được Google ...
Google cảnh báo về lỗ hổng bảo mật CVE-2...
- Thông báo nghỉ lễ Quốc Khánh 2024
- NTS trao 150 quà tặng cho các em học sinh vượt khó...
- Khi chuỗi cung ứng bị tấn công: Tác động và bài họ...
- Tuần lễ An ninh mạng Châu Á - Thái Bình Dương 2024...
- Kaspersky nêu bật những thách thức của AI trong th...
- Bối cảnh mối đe dọa an ninh mạng: Những mối đe dọa...
- Thông báo nghỉ lễ Quốc Khánh 2024
- Đọc nhanh tài liệu Word với tính năng AI tóm tắt t...
- Google tung bản vá bảo mật khẩn cấp cho 4 lỗi bảo ...
- Phần mềm độc hại Android mới NGate đánh cắp dữ liệ...
- Thời đại AI lên ngôi, ảnh chụp không hẳn là bảo ch...
- NTS trao 150 quà tặng cho các em học sinh vượt khó...