Бразильский разработчик Матеус Мариано (Matheus Mariano) обнаружил в составе вышедшей в сентябре macOS High Sierra крайне неприятный баг (CVE-2017-7149). В этой версии ОС файловая система APFS (Apple File System) используется по умолчанию для накопителей SSD, и разработчики Apple обещали за счет этого лучшую производительность и более надежное шифрование. Увы, именно с APFS была связана найденная бразильским специалистом проблема, которая свела к нулю всю надежность нового шифрования.
Ошибка обнаружилась, когда Мариано использовал Disk Utility для добавления нового зашифрованного тома APFS. Так, во время этой процедуры система попросила его задать пароль, а также при желании указать подсказку, которая поможет вспомнить его, если это потребуется. После того как новый том был создан и смонтирован, macOS потребовала ввести заданный пароль. Однако любопытный исследователь нажал на кнопку «Показать подсказку» (Show Hint), после чего увидел вместо подсказки только что созданный пароль, открытым текстом. Ниже можно увидеть демонстрация проблемы на видео.
Однако это не единственный баг, который специалистам Apple пришлось экстренно устранять. Дело в том, что в конце сентября 2017 года, спустя буквально несколько часов после релиза High Sierra, известный ИБ-эксперт и сотрудник Synack Патрик Вордл (Patrick Wardle) сообщил о критической уязвимости в Keychain, которая получила идентификатор CVE-2017-7150 и затрагивает предыдущие версии ОС.
on High Sierra (unsigned) apps can programmatically dump & exfil keychain (w/ your plaintext passwords)??? vid: https://t.co/36M2TcLUAn #smh pic.twitter.com/pqtpjZsSnq
— patrick wardle (@patrickwardle) September 25, 2017
Найденный Вордлом баг позволял похищать из Keychain юзернеймы и пароли в формате простого текста. Причем атакующему не нужно было знать мастер-пароль для Keychain, а сделать дамп ценной информации было способно даже неподписанное приложение. Вордл опубликовал proof-of-concept видео работы эксплоита:
Свежее обновление для macOS High Sierra устраняет обе вышеописанные проблемы и настоятельно рекомендуется к установке.
