macOS High Sierra gặp lỗi bảo mật cho phép thay đổi cài đặt App Store

Mai Phương Lý22:27 12/01/2018

Một lỗi mới trong macOS High Sierra 10.13.2 (17C88) cho phép bất kỳ tài khoản quản trị nào cũng có thể truy cập vào thiết lập App Store từ ứng dụng System Preferences với mật khẩu không chính xác.

Lỗ hổng xảy ra đối với phiên bản macOS High Sierra 10.13.2. ẢNH: AFP

Theo Neowin, báo cáo từ Open Radar mô tả cách làm việc như sau: đăng nhập với tư cách quyền quản trị, sau đó mở tùy chọn App Store từ ứng dụng System Preferences, khóa ổ khóa thay đổi (nếu nó đang mở), nhấn vào ổ khóa để mở và gõ bất kỳ mật khẩu nào trước khi nhấn Enter. Điều này xảy ra nếu bạn đang sử dụng phiên bản macOS High Sierra 10.13.2.

Vấn đề trên xảy ra trong bối cảnh Apple đã phải vá một lỗ hổng cho phép truy cập vào tài khoản người dùng cấp cao với một mật khẩu trống vào tháng 11 năm ngoái. Ở thời điểm đó, Apple cho biết trong một tuyên bố rằng công ty rất tiếc về lỗi và gửi lời xin lỗi đến tất cả người dùng Mac về những mối lo ngại đã gây ra. Công ty cũng cho biết kiểm tra quá trình phát triển của để giúp ngăn chặn điều này xảy ra lần nữa.

Video đang HOT

Đối với lỗi mới xuất hiện, nó có thể không phải quá nguy hiểm so với vấn đề xảy ra cách đây khoảng hai tháng, bởi không có nhiều thiết lập trong App Store được xem là quá nhạy cảm.

Apple cho biết vấn đề đã được khắc phục trong bản thử nghiệm macOS High Sierra 10.13.3, nhưng trong thời gian chờ đợi bạn cần đảm bảo rằng mình không đăng nhập vào tài khoản quản trị khi hệ thống không được giám sát, đồng thời đảm bảo rằng bất kỳ người dùng nào mà bạn không tin tưởng đang sử dụng một tài khoản tiêu chuẩn thay vì quản trị.

Kiến Văn

Theo Thanhnien

Lỗ hổng trên macOS cho phép tin tặc chiếm quyền máy tính

Một nhà nghiên cứu an ninh mạng mới đây tiết lộ chi tiết về lỗ hổng bảo mật chưa được vá trong hệ điều hành macOS của Apple, qua đó có thể giúp hacker kiểm soát toàn bộ hệ thống, theo TheHackerNews.

Một lỗ hổng mới trên hệ điều hành macOS vừa bị tin tặc khai thác. ẢNH: AFP

Vào ngày đầu tiên của năm 2018, một nhà nghiên cứu với nickname Siguza đã công bố những chi tiết về lỗ hổng zero-day trong macOS hiện chưa có bản vá. Theo Siguza, lỗi này tồn tại ít nhất đã 15 năm, ông cũng đã cung cấp tài liệu chứng cứ khai thác (PoC) trên GitHub.

Theo đó, đây là dạng lỗ hổng nâng quyền (LPE), cho phép người dùng chưa được cấp quyền có thể kiểm soát hệ thống khi họ có quyền truy cập vật lý vào hệ thống và thực thi mã độc hại để leo thang đặc quyền cao nhất.

Siguza tin rằng lỗ hổng này đã xuất hiện vào khoảng năm 2002, một số gợi ý cho thấy lỗ hổng này thực sự có thể đã tồn tại hơn 10 năm. Lỗi leo thang đặc quyền cục bộ này nằm trong một phần mở rộng của nhân macOS đã được thiết kế cho các thiết bị giao tiếp như màn hình cảm ứng hoặc các nút, cho phép kẻ tấn công cài đặt chương trình thực thi mã tùy ý trên hệ thống.

Mã thực thi được viết bởi Siguza được cho biết là gây ảnh hưởng đến toàn bộ các phiên bản macOS, nó dễ dàng đọc và ghi vào trong nhân hệ điều hành. Tuy vậy mã thực thi này vì một vài lý do nào đó đã bị vô hiệu khi thử nghiệm trên bản macOS High Sierra 10.13.2, nó chỉ còn hoạt động trên bản Highe Sierra 10.13.1 trở về trước.

Dù vậy, nhà nghiên cứu bảo mật này cho biết để mã thực thi hoạt động, nó cần phải buộc đăng xuất (log out) người dùng. Dù vậy trường hợp này có thể dễ dàng bị vượt qua được nếu những máy bị nhắm đến bị tắt hoặc khởi động lại. Và vì lỗi này không thể kích hoạt từ xa nên nhà nghiên cứu này đã công bố phát hiện của ông lên mạng thay vì âm thầm báo cáo cho Apple. Có vẻ một phần vì chương trình dò lỗi và trả thưởng của Apple không bao gồm nghiên cứu lỗi của hệ điều hành macOS.

Loan Chi

Theo Thanhnien

Apple hoàn tất sửa lỗ hổng trên macOS High Sierra Sau khi nhận được báo cáo về lỗ hổng có trên phiên bản macOS High Sierra, Apple đã nhanh chóng tung ra bản cập nhật nhằm khắc vấn đề kèm lời xin lỗi người dùng. Apple đã khắc phục được vấn đề lỗ hổng bảo mật trong macOS High Sierra. ẢNH: REUTERS Theo PhoneArena, lỗ hổng trên phiên bản hệ điều hành mới...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Xem thêm Share

Xem nhiều

Lộ phân cảnh bị cắt ở phim Trấn Thành khiến ai xem cũng lú: Tô bún 100k, trả 200k, tại sao khách hàng vẫn lãi?01:59

Video vỏn vẹn 22 giây từ camera trong một gia đình ghi lại 3 từ của bé trai khiến ai cũng nhói lòng00:23

Lễ gia tiên Vũ Cát Tường và bạn đời: Gia thế khủng của cô dâu được hé lộ, thái độ bố mẹ gây chú ý00:48

Loạt ảnh và video bóc nhan sắc thật của vợ Vũ Cát Tường: Xinh đẹp "hết nước chấm", 1 chi tiết khiến nhiều người mê mẩn00:34

Công an TP.HCM vào cuộc vụ người phụ nữ khóc vì bị dàn cảnh móc túi ở bệnh viện08:07

Sơn Tùng M-TP: Đừng so sánh anh với những vì tinh tú00:18

Đức Phúc biến Valentine thành ngày hội cầu hôn với MV "Chăm em một đời"04:08

'Đèn âm hồn' dẫn đầu phòng vé vướng nghi vấn đạo nhái, đạo diễn nói gì?04:46

Hung thủ dùng súng bắn chết nam thanh niên tại phòng ngủ sa lưới01:17

Vũ Cát Tường rơi lệ ở lễ thành đôi: 'Muốn yêu thương, bảo vệ em đến khi già đi'00:25

Nhân chứng bức xúc: Dù được xin lỗi, tài xế ô tô Lexus vẫn hành hung nam shipper10:09

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn