آزمایشگاه تخصصی آپا دانشگاه فردوسی مشهد::FUM CERT Lab. (Computer Emergency Response Team)

اپل هنوز برای شکاف امنیتی کلمه عبور macOS وصله ارائه نکرده است

عنواناپل هنوز برای شکاف امنیتی کلمه عبور macOS وصله ارائه نکرده است
گروه اصلیOther
شرح خبر

بار دیگر، یک محقق امنیتی، روشی ساده برای دور زدنامنیت کلمه عبور macOS پیدا کرد، اگرچه این‌دفعه تأثیر بسیار کمی دارد.

یک محقق امنیتی، در رابطه با آسیب‌پذیری دور زدن کلمه عبور، در سیستم‌عامل رومیزی Apple's macOS High Sierra هشدار می‌دهد؛ اگرچه، این شکاف امنیتی، به اندازه سایر معضلاتی که اپل اخیرا برای آن‌ها وصله ارائه کرده است، جدی نمی‌باشد.

Eric Holtman، محقق امنیتی، معضل دور زدن کلمه عبور را در تاریخ 8 ژانویه به‌صورت عمومی گزارش کرد. اپل عنوان کرد در حال حاضر راه‌حلی برای این معضل در نظر دارد، که در به‌روزرسانی macOS نسخه 10.13.3 ارائه شده، اما هنوز در مرحله تست بتا می‌باشد.

Holtman در توصیه خود هشدار داد: منوی "AppStore Preferences در قسمت System Preferences می‌تواند توسط یک مدیر محلی، با هر کلمه عبور ساختگی، قفل‌گشایی شود."

منوی ترجیحات AppStore در macOS High Sierra گزینه‌های مختلفی برای کاربران فراهم می‌آورد، از جمله نیاز به کلمه عبور برای استفاده در برنامه و پرداخت‌های درون‌برنامه‌ای. استفاده از قفل کلمه عبور، به‌منظور فراهم آوردن مکانیزمی است که از تغییر تنظیمات توسط هر کاربر با دسترسی محلی، بدون وارد کردن کلمه عبور صحیح، خودداری کند.

اگرچه، دادن این امکان به کاربر، که گزینه‌های ایمن‌شده توسط کلمه عبور را دور بزند، در هیچ شرایطی خوب نیست، اما خطرات واقعی آن تا حدودی ناشناخته است. Holtman در توصیه خود قید کرد، این شکاف تنها برای کاربرانی کار می‌کند که به‌عنوان یک مدیر محلی به سیستم macOS High Sierra وارد شده‌اند. در دنباله‌ای از پیام‌های توئیتر در 10 ژانویه، که رسانه‌های مختلفی را مخاطب قرار داده بود، Holtman تأکید کرد که این معضل بحرانی نیست. وی اشاره کرد هر کاربر مدیری که به سیستم وارد شده، چنانچه بخواهد می‌تواند به‌سادگی تنظیمات AppStore را قفل‌گشایی کند.

به گفته Holtman، «این مسأله نیاز به دسترسی مدیریتی به ماشین دارد و تنها تنظیمات AppStore را تحت تأثیر قرار می‌دهد. سایر تنظیمات سیستم به این روش قفل‌گشایی نمی‌شوند. احتمالا یک اشتباه سهوی در امنیت، نسخه 10.13.x را دستخوش تغییر کرده است.»

اگرچه، مشکل اصلی این است که چندین اشتباه امنیتی دیگر در رابطه با کلمه عبور، از زمان انتشار
 
macOS High Sierra 10.13.x در سپتامبر 2017، طی چندین ماه شناسایی و کشف شده است.

تنها یک هفته پس از ارائه macOS High Sierra، اپل دو مورد به‌روزرسانی امنیتی مکمل، برای دو آسیب‌پذیری بحرانی مرتبط با کلمه عبور، در این سیستم‌عامل ارائه داد. در نوامبر 2017، پس از آن‌که یک محقق از طریق توئیتر گزارش کرد هر شخصی می‌تواند بدون کلمه عبور و با شناسه "root" وارد macOS High Sierra شود، اپل مجددا به‌روزرسانی برای آن منتشر کرد.

اگر بخواهیم منصف باشیم ، مشکل AppStore که در 8 ژانویه گزارش شد، به اندازه معضلی که در نوامبر 2017 با شناسه CVE-2017-13872 ارائه شده بود، مخاطره‌آمیز نیست. در مورد CVE-2017-13872، اپل هشدار داد که یک مهاجم می‌تواند احراز هویت مدیریتی را بدون تأمین کلمه عبور مدیر، دور بزند. در مشکل AppStore، مهاجم ابتدا نیاز دارد که به سیستم دسترسی ریشه داشته باشد.

اگرچه مسأله نگران‌کننده این است که این معضلات از ابتدا وجود داشتند و به‌مرور در حال نشان دادن خود هستند. ایمن نگه داشتن کلمات عبور در محیط تهدیدات مدرن، به اندازه کافی دشوار است؛ اما زمانی که تنظیمات سیستمی، که میبایست به‌وسیله کلمه عبور ایمن شوند، امنیت ندارند، دلیلی برای نگرانی وجود دارد.

ممکن است تنها مجموعه‌ای از اتفاقات ناگوار منجر به معضلات مختلف در رابطه با کلمه عبور در سیستم عامل macOS High Sierra شده باشد. همانطور که Holtman گفت، ممکن است تنها یک «اشتباه سهوی» باشد. با در نظر گرفتن نقش مهم کلمات عبور در حوزه امنیت فناوری اطلاعات مدرن، داشتن اشتباهات سهوی در فناوری‌های کلمه عبور، خود مسأله‌ای نگران‌کننده است.

آدرس اینترنتی خبرhttp://www.eweek.com/security/apple-to-patch-yet-another-macos-password-security-flaw
تاریخ درج خبر1396-11-02
صفحه اصلی | تماس با ما | معرفی آزمایشگاه | ورود
©2018 Ferdowsi University Of Mashhad
مرکز آپا | آپا | آپا چیست