| CVE編號 | CVE-2017-7149 CVE-2017-7150 |
|---|---|
| 影響產品 | macOS High Sierra 10.13及以前版本 |
| 解決辦法 | 使用 Mac 上的 App Store app,按下「更新項目」,使用「更新」鈕下載和安裝所列項目,若未見預期之更新項目,使用「搜尋」欄位。 |
| 張貼日 | 2017-10-13 |
| 上稿單位 | TWCERT/CC |
●概述:
Apple macOS High Sierra 10.13存在嚴重程式錯誤,駭客可藉此獲取得機敏資料,Apple就相關版本軟體提供對應之安全更新。
●編註:
(1)StorageKit漏洞:APFS (Apple 檔案系統)提供加密儲存區功能,使用者操作磁碟管理工具新增加密儲存空間時,系統要求輸入密碼及備忘提示(hint),然而當準備掛載該加密儲存區時,密碼驗證畫面亦出現"Show Hint"按鍵,點擊之竟出現密碼明文而非提示語,意即任何人操作皆能伺機偷取密碼。
(2)keychain(鑰匙圈)安全漏洞:Apple macOS Keychain係內建密碼管理系統,用途為儲存各類帳號密碼(程式、server、網站)及信用卡號,使用Keychain需驗證主密碼,而該漏洞允許任何已安裝之惡意程式採模擬點擊手法,迴避Keychain詢問主密碼,駭客遂能暗渡密碼明文等個資。