Apple si vyrobila ďalšiu hanbu, aktualizácia na root chybu znefunkčnila zdieľanie súborov

Značky: Applebezpečnosť

DSL.sk, 30.11.2017

Spoločnosť Apple v krátkom čase vyrobila ďalšie programátorské zlyhanie a potenciálne už môže začať vznikať otázka aký kvalitný je aktuálne proces vývoja a kontroly kvality v Apple.

Bezpečnostná aktualizácia Security Update 2017-001 riešiaca problém s umožnením prístupu k macOS High Sierra 10.13 cez root účet bez hesla totiž spôsobila minimálne na časti počítačov znefunkčnenie zdieľania súborov cez sieť.

DSL.sk na to upozornil čitateľ, za tip ďakujeme.

Po inštalácii aktualizácie sa podľa sťažností užívateľov z ostatných Macov nedá dostať na zdieľané priečinky na počítači s macOS High Sierra 10.13 s inštalovanou aktualizáciou. Či sa problém týka každého počítača alebo kedy k nemu prichádza nie je jasné.

V každom prípade problém dnes priznala aj samotná spoločnosť Apple, ktorá zverejnila aj postup ako problém odstrániť. Potrebné na počítači, kde je inštalovaná aktualizácia, spustiť v príkazovom riadku sudo /usr/libexec/configureLocalKDC.

Presné technické príčiny problému zatiaľ nie sú známe, v každom prípade je zlyhaním neoveriť po uskutočnení zmien v autentifikácii funkčnosť autentifikácie u tak bežného spôsobu prístupu ako je prístup k zdieľaným súborom cez sieť, a to v každom scenári.

Tzv. goto chyba v implementácii SSL (kód: Adam Langley)

Technické príčiny a detailnejšiu analýzu chyby v macOS High Sierra 10.13, ktorá umožňuje získať privilegovaný prístup k počítaču neautorizovaným osobám prihlásiť sa ako užívateľ s administrátorskými oprávneniami, root, bez hesla alebo so zvoleným heslom, sme popisovali v tomto článku. Programátorská chyba je logickej povahy v postupe overovania hesla, aj keď zatiaľ nie je jasné ktorá konkrétna logická chyba je v kóde hlavná.

Pre Apple, ktorého softvér a platforma sú vnímané a objektívne sú vo viacerých aspektoch kvalitnejšie ako napríklad Windows, nejde o prvé zvláštne programátorské zlyhanie. Chyba eliminujúca základnú funkčnosť SSL v macOS a iOS, overenie identity servera, kvôli chybnému dvojnásobnému výskytu riadku goto fail v kóde a následný nepodmienečný skok pred overením identity serveru získala v roku 2014 tradičnú cenu Pwnie Awards za bezpečnostné zlyhanie roka na renomovanej konferencii Black Hat.




Najnovšie články:



Diskusia:

tu drbnem titulok nech ma redakcia DSL.sk radost ... Od: Kandidat viet | Pridané: 30.11.2017 13:09 Applu posielam goto fail Odpovedať Známka: 8.8 Hodnotiť:

Re: tu drbnem titulok nech ma redakcia DSL.sk radost ... Od reg.: JamesSVK | Pridané: 30.11.2017 15:49 dvakrat :D Odpovedať Známka: 9.2 Hodnotiť:

Re: tu drbnem titulok nech ma redakcia DSL.sk radost ... Od: koder_ | Pridané: 30.11.2017 16:17 dvakrat si niekto stlacil prikaz na kopirovanie riadka Odpovedať Známka: -2.0 Hodnotiť:

Re: tu drbnem titulok nech ma redakcia DSL.sk radost ... Od: 33jkl33 | Pridané: 30.11.2017 20:58 gosub fail a žiaden return :D Odpovedať Známka: 0.0 Hodnotiť:

super os Od: johnyx | Pridané: 30.11.2017 13:22 pouzivat linux Odpovedať Známka: 2.4 Hodnotiť:

Re: super os Od: nerozumiem linuxu | Pridané: 30.11.2017 16:18 goto fail; Odpovedať Známka: 2.9 Hodnotiť:

sales nebudet Od reg.: cpt.obvious | Pridané: 30.11.2017 13:23 a co? dobre? Odpovedať Známka: -1.4 Hodnotiť:

Re: sales nebudet Od: ddddeer | Pridané: 30.11.2017 14:16 ta hej. Odpovedať Známka: 4.0 Hodnotiť:

At last! Something c Od: Jenibelle | Pridané: 14.2.2018 3:55 At last! Something clear I can unradstend. Thanks! Odpovedať Hodnotiť:

Go to statement considered harmful Od: Dijkstra | Pridané: 30.11.2017 13:26 Rok 1968, http://dopice.sk/kE5 Odpovedať Známka: -1.7 Hodnotiť:

Re: Go to statement considered harmful Od: *&%^áý037!áýí | Pridané: 30.11.2017 13:50 Keď to nevieš používať, tak to nepoužívaj. Odpovedať Známka: 2.0 Hodnotiť:

indicky support ? Od: halohalo | Pridané: 30.11.2017 13:28 tusim uz vo velkom pouzivaju super koderov z indie Odpovedať Známka: 7.3 Hodnotiť:

Re: indicky support ? Od: _____ | Pridané: 30.11.2017 14:47 ja ze z nvidie :) Odpovedať Známka: 1.7 Hodnotiť:

Re: indicky support ? Od: dj_v | Pridané: 30.11.2017 15:01 nvidia ma tiez indov Odpovedať Známka: 5.4 Hodnotiť:

Re: indicky support ? Od: Roztopasniik | Pridané: 30.11.2017 15:08 A indovia maju nvidie Odpovedať Známka: 7.3 Hodnotiť:

Re: indicky support ? Od: MladyPanko | Pridané: 30.11.2017 21:32 Z indie? Odpovedať Známka: 7.8 Hodnotiť:

Re: indicky support ? Od: Nasr | Pridané: 30.11.2017 15:36 v Chennai sa koduje, Bangalore testuje a zvysok sveta sa chyta za hlavu Odpovedať Známka: 8.9 Hodnotiť:

Re: indicky support ? Od: dietny suchar | Pridané: 30.11.2017 15:49 v AJOT-e nahanaju menezment na ryzovych poliach. sice neviem kde to je, ale vcera som to mal v krizovkach Odpovedať Známka: 6.0 Hodnotiť:

Re: indicky support ? Od: 7789965875 | Pridané: 30.11.2017 16:44 Možno majú ale lepšie vzdelanie ako kóderi zo Slovenska. Odpovedať Známka: -10.0 Hodnotiť:

chore Od: pakon | Pridané: 30.11.2017 13:46 sutazne prostredie vsade. Potom vznikaju taketo skolacke chyby zo stresu a nepozornosti. Spomaliť!!! Odpovedať Známka: 2.0 Hodnotiť:

Re: chore Od: dj_v | Pridané: 30.11.2017 14:07 jak spomaliť? Prečo by nemohol jeden človekorobot robiť to, čo zvládnu poriadne spraviť 3 ľudia? A čo že mešká? A čo že to kazí? Odpovedať Známka: 5.6 Hodnotiť:

install arch Od reg.: Zapredaný | Pridané: 30.11.2017 15:14 install arch Odpovedať Známka: -3.3 Hodnotiť:

Re: install arch Od: picifuz | Pridané: 4.12.2017 21:30 Hovno! Odpovedať Hodnotiť:

roooot Od: Macko_Usko | Pridané: 30.11.2017 15:33 Ani sa im necudujem. Koho by napadlo testovat root bez hesla. Odpovedať Známka: 5.6 Hodnotiť:

Re: roooot Od: tajnos_agentos | Pridané: 30.11.2017 16:19 napr. upratovacku v hotelovej izbe :D Odpovedať Známka: 7.8 Hodnotiť:

ozaj? Od: fgs | Pridané: 30.11.2017 15:36 To akoze uzivatel Apple produktu ma otvarat nejaky prikazovy riadok a pisat tam nejake klikihaky, ktorym ani nerozumie? To sa robi na Linuxe, ani Microsoft si to nedovoli... Odpovedať Známka: 4.8 Hodnotiť:

Re: ozaj? Od: martiiiiiinHK | Pridané: 30.11.2017 18:34 To je pravda. Ja sa stale divim ze tie Mac-ky maju na klavesnici tolko tlacitok. Staci aby Apple aktualizoval klavesnicu a odstranil pismeno 'R'. Potom by nikto nikdy na take chybu neprisiel. Odpovedať Známka: 7.8 Hodnotiť:

iOvca. Od: iOvca. | Pridané: 30.11.2017 16:01 Nevadí. https://i.imgur.com/Z9H225Z.gif Odpovedať Známka: 3.3 Hodnotiť:

Developer Od: Viktor_ | Pridané: 30.11.2017 16:03 niekedy je vo veľmi dobrom a vyladenom kóde logická chyba aj roky, a až náhoda jedného z tisíca pokusov, ktorá by nikoho pred tým nenapadla, vedie k oprave, ktorá však odhalí dalšie 3. viem o čom hovorím, sám už roky programujem, a niekedy aj po rokoch sám po sebe, sa podivím že prečo som to robil tak a nie tak, to sú skúsenosti. treba mať na to bunky a robiť to už od základnej školy, a aby to aj človeka bavilo, chýb sa nebáť a dávať si bonusový čas, prinútiť tých čo to testujú aby to ozaj skúsili tak či onak a aj dali vedieť. Po rokoch som nedávno narazil na program kolegu, ktorému chýbal riadny kus kódu a nik si toho roky nevšimol, ani ten čo to používal a testoval pred tým a ani programátor nevedel, lebo kódil rôzne na rôzne smery a všetci spoliehali na to že je už ostrieľaný. Odpovedať Známka: 5.0 Hodnotiť:

Re: Developer Od: 778996587547 | Pridané: 30.11.2017 16:49 Však to otestovali zákazníci, načo platiť stovky testerov, aby pred ich slávnymi premiérami ťahali 16 hodinové smeny. Zákazník je zadarmo, dokonca za svoje testovanie platí. Ekonomicky (v krátkodobom horizonte) je to výhodnejšie riešenie. V dlhodobom horizonte to je samozrejme stratové riešenie. Asi na to po MS prišiel aj Apple. Odpovedať Známka: 10.0 Hodnotiť:

Re: Developer Od: 778996587547 | Pridané: 30.11.2017 16:49 zmeny Odpovedať Známka: -3.3 Hodnotiť:

Re: Developer Od: čitateľ | Pridané: 30.11.2017 17:25 Smena bolo správne. Odpovedať Známka: 3.3 Hodnotiť:

Re: Developer Od: iExploder | Pridané: 30.11.2017 21:38 presne tak, najlepsi tester je zakaznik, to je ako predat niekomu auto a airbag ci ide... co uz otestuj si sam, co ja mam s tym ze to nefunguje, vsak ja chcem iba Tvoje peniaze :) Odpovedať Hodnotiť:

Re: Developer Od: martiiiiiinHK | Pridané: 30.11.2017 18:32 Ja by som priekazne poradil urychlnene zmenit povovlanie na take, ktore nevyzaduje pracu s PC. Odpovedať Hodnotiť:

I want to send you a Od: Jesslyn | Pridané: 14.2.2018 6:07 I want to send you an award for most helpful intrenet writer. Odpovedať Hodnotiť:

Aj keď nahovno ale rýchlo Od reg.: joskob | Pridané: 30.11.2017 16:11 Kde je ten čo sa tu včera chválil ako rýchlo to už majú opravené? Odpovedať Známka: 8.8 Hodnotiť:

Re: Aj keď nahovno ale rýchlo Od: zlata rybka | Pridané: 30.11.2017 19:28 Presne toto som chcel napisat! Ale teraz si aj tak vymysli vyhovorku... Odpovedať Známka: 6.4 Hodnotiť:

Full of salient poin Od: Nonie | Pridané: 14.2.2018 1:23 Full of salient points. Don't stop beeviling or writing! Odpovedať Hodnotiť:

Pachy Od: siirii | Pridané: 30.11.2017 16:15 Nepoužívanie zložených zátvoriek po if je otrasné a používanie goto ešte otrasnejšie. Kombinácia týchto dvoch otrasov ani nemôže inak dopadnúť. Odpovedať Známka: 8.3 Hodnotiť:

Re: Pachy Od: Freak | Pridané: 1.12.2017 12:06 Bro v prvej poznamke suhlasim, v tej druhej nie :) a poviem ti aj preco. Ano goto by sa vseobecne nemalo pouzivat, je tu ale pripad kedy je to naozaj vhodne a prehladne a presne tento pripad mozes vydiet v kode. Je to pouzivane na osetrenie errorovych stavov kde v kode sa ti moze v jednej funkcii vyskytnut pri 4 podobnych podmienkach rovnaky error. V tomto pripade pouzitie goto error sa rovna prehladnemu a dobremu rieseniu. (programujem v C uz 4 rokom, tym chcem povedat ze mam aspon male skusenosti) Odpovedať Známka: 3.3 Hodnotiť:

Re: Pachy Od: čitateľ | Pridané: 2.12.2017 18:22 Aj jaj jáj, tie errory vydieť. Mimochodom, v čom je stav lepší od chyby? Odpovedať Hodnotiť:

Apple code Od: TrochKoder | Pridané: 30.11.2017 16:49 Je fakt ze v drtivej vacsine kodu co som sa stretol od Apple, pouzivaju if() something; Nechaprem preco nepouzivaju zatvorky.. if(){}.. asi riadok na viac je zly. moc im ani nejde staticka analyza kodu, henten fail by nasiel aj valgrind... Odpovedať Známka: 10.0 Hodnotiť:

Re: Apple code Od: liam | Pridané: 30.11.2017 18:03 Pôvodný nadpis článku na dsl.sk: High Sierra 10.13 užívateľov nasiera Odpovedať Známka: 8.0 Hodnotiť:

Re: Apple code Od reg.: Kvík? | Pridané: 30.11.2017 18:15 Keď sa tak pozriem na potenciálnu userbase, ani sa pýtať netreba... Odpovedať Známka: 0.0 Hodnotiť:

Re: Apple code Od: Flovers | Pridané: 30.11.2017 19:59 to sú tie zjednodušovania písania, a fakt že každý to ma inak. taký python sa zasadne riadi iba odsekom. keď sa v ňom niekto učí ako v prvom jazyku, ziska nechutne zlý návyk. Odpovedať Známka: 0.0 Hodnotiť:

Re: Apple code Od reg.: John D. Bill | Pridané: 1.12.2017 9:30 Nehovoriac o tom ze stedre pouzivanie odriadkovanych kuceravych zatvoriek priekazne zvysuje vykon codera v LOC metrike. Odpovedať Známka: 0.0 Hodnotiť:

Re: Apple code Od: Foter Loter | Pridané: 1.12.2017 10:14 BASIC code 10 PRINT "AHOJ" 20 GOTO 10 Odpovedať Známka: 3.3 Hodnotiť:

I actually found thi Od: Sundance | Pridané: 14.2.2018 3:10 I actually found this more entnetairing than James Joyce. Odpovedať Hodnotiť:

Ako v zoo Od: martiiiiiinHK | Pridané: 30.11.2017 18:30 To ako keby tam mali kopu opic, ktore stlacaju tlacitka na generovanie roznych chyb. Odpovedať Známka: -6.0 Hodnotiť:

ssfsafd Od: Tulen | Pridané: 30.11.2017 20:36 To je tak ked sa ti mongoli sustreduju na anihovienka tak bezpecnost a odladenost ide do prdele. Preto mi moj iphon hori v ruke lebo nikto nema cas na optimalizaciu, vsetci posielaju kamaratom animoji. Odpovedať Známka: 3.3 Hodnotiť:

Goto Apple Od: Wingdings | Pridané: 1.12.2017 15:15 Apple by mal vyrábať iba jablká, napríklad Golden Delicius. Ako povedal Forest je malá by to byť firma přez ovoce. Odpovedať Hodnotiť:

Pridať komentár