اپل در سیستم‌های macOS، آسیب‌پذیریِ دسترسی به حساب ریشه با پسورد خالی را وصله کرد

 

در خبرهای امروز گزارش دادیم که در سیستم های macOS High Sierra، یک آسیب پذیری دور زدن احراز هویت کشف شده که مهاجم با خالی قرار دادن فیلد پسورد، می تواند به حساب ریشه وارد شود. اپل وصله ای را برای برطرف کردن این آسیب پذیری منتشر کرد.


این آسیب پذیری اولین بار در تاریخ ۱۳ نوامبر در انجمن توسعه دهندگان اپل توسط یکی از کاربران به عنوان راه حلی برای آن هایی که حساب مدیریتی آن ها به حساب استاندارد تبدیل شده بود، ارائه گردید تا بتوانند دوباره به حساب ریشه دست یابند. چند روز بعد یک توسعه‌دهنده‌ی وب ترکیه‌ای این موضوع را با بخش پشتیبانی اپل در توییتر مطرح کرد و آن را به‌عنوان یک آسیب‌پذیری گزارش داد.


در عرض ۲۴ ساعت پس از ارسال این گزارش، اپل اعلام کرد که سیستم عامل High Sierra به نسخه‌ی ۱۰.۱۳.۱ ارتقاء پیدا کرد تا این آسیب‌پذیری را وصله کند. به این آسیب‌پذیری شناسه‌ی CVE-2017-13872 اختصاص داده شده است. اپل این آسیب‌پذیری را یک خطای منطقی در اعتبارسنجی گواهی‌نامه‌ها توصیف کرده است. اپل اعلام کرده این آسیب‌پذیری نسخه‌های ۱۰.۱۲.۶ و قبل‌تر از این سیستم عامل را تحت تاثیر قرار نداده است. 


حتما باید به این نکته نیز اشاره شود که بهره‌برداری از این آسیب‌پذیری زمانی امکان‌پذیر است که حساب ریشه فعال نشده و بر روی آن نیز پسوردی تنظیم نشده باشد. اپل نیز به حالت پیش‌فرض حساب ریشه را غیرفعال می‌کند. محققان اشاره کرده‌اند که اگر بر روی سیستم آسیب‌پذیر، سرویس‌هایی به اشتراک گذاشته شده باشد، بهره‌برداری از آسیب‌پذیری از راه دور نیز امکان‌پذیر است.
 

منبع

پست‌های مشابه

Leave a Comment