macOS

В середине прошлой недели в составе macOS High Sierra был обнаружен баг CVE-2017-13872, позволявший получить root-привилегии в системе, просто набрав в форме ввода логина и пароля слово «root» (пароль не требовался вовсе). Хотя инженеры компании выпустили «заплатку» менее чем через 24 часа после придания уязвимости огласке, оказалось, что проблемы только начались.

Вскоре пользователи обнаружили, что патч, исправляющий проблему root-доступа, очевидно, создавался в спешке и не успел пройти надлежащее тестирование. Дело в том, что после установки обновления у многих пользователей перестало нормально работать совместное использование файлов (File Sharing).

Разработчики Apple были вынуждены опубликовать отдельную инструкцию, в которой подробно рассказали, какие шаги нужно предпринять пользователям для восстановления нормальной функциональности File Sharing. Компания посоветовала пострадавшим запустить приложение Terminal, воспользоваться командой sudo /usr/libexec/configureLocalKDC и ввести пароль администратора.

Однако проблемы Apple не закончились даже после этой неудачи. Вскоре выяснилось, что пользователи High Sierra 10.13.0, еще не обновившиеся до версии 10.13.1, но уже установившие вышеупомянутый патч, оказались в странной ситуации. Если такой пользователь инициировал обновление системы до 10.13.1, проблема с root-доступом проявлялась снова. Некоторые пользователи жаловались, что повторная установка патча на уже обновленную систему не дает никакого результата, до тех пор, пока компьютер не будет перезагружен. Причем нигде не было замечено никаких предупреждений о том, что патч против root-бага нужно установить повторно, а после этого необходимо произвести ребут устройства.

Лишь после того, как этот просчет разработчиков Apple заметили ИБ-специалисты, на странице уязвимости на официальном сайте появилось обновление, сообщающее о необходимости перезагрузки.

iOS

Минувшая неделя выдалась не менее странной и для пользователей мобильных устройств Apple.

Сначала ошибка в составе iOS 11.1.2 заставила некоторые iPhone уйти в бесконечную перезагрузку. Как оказалась, баг был привязан к конкретной дате и времени: он срабатывал после наступления 00:15, 2 декабря 2017 года. Проблема была сопряжена с работой ежедневных уведомлений (Daily Notifications) и приложений, которые такие уведомления используют.

Пользователи быстро поняли, что для прекращения бесконечных «вылетов» и ребутов, можно либо отключить ежедневные уведомления (Settings -