Matheus Mariano, một lập trình viên của công ty Leet Tech (Braxin), đã công bố thông tin về lỗ hổng của APFS và sau đó một lập trình viên khác là Felix Schwartz đã mô phỏng theo và thực hiện thành công việc khai thác lỗ hổng này.
Lỗ hổng trong APFS này được định danh là CVE-2017-7149, có thể giúp xoá đi sự bảo vệ của ổ đĩa mã hoá do APFS cung cấp. Vấn đề có thể thấy rõ khi bạn tạo một ổ đĩa mã hoá APFS trên máy Mac bằng SSD với tiện ích Disk Utility. Sau khi thiết lập gợi ý cho mật khẩu, việc gọi cơ chế gợi ý mật khẩu trong quá trình truy cập ổ đĩa sẽ khiến hệ thống hiển thị mật khẩu ở dạng rõ thay vì hiển thị gợi ý. Hãng Apple đã thừa nhận về lỗ hổng này trong tài liệu đi kèm với bản vá.
Lỗ hổng của Keychain (CVE-2017-7150) được phát hiện bởi Patrick Wardle, công ty bảo mật Synack. Lỗ hổng này cho phép các ứng dụng không được ký truy cập dữ liệu nhạy cảm lưu trong Keychain.
Lập trình viên Schwartz cho rằng, Apple đã công bố High Sierra quá sớm. Các lập trình viên khác cũng nhận định tương tự. Ngay sau khi Apple phát hành bản nâng cấp High Sierra (hay còn gọi là macOS 10.13), vào cuối tháng 9, Brian Lopez (Giám đốc tại GitHub) đã nhận định rằng, có thể Apple đã vô tình đưa ra phiên bản công bố thử nghiệm của High Sierra trong lúc “có quá nhiều phần chưa hoàn thành và chưa được tối ưu hóa”. Marco Arment, lập trình viên cho rằng, việc Apple quá tập trung vào iOS đã gây ảnh hưởng đến việc kiểm soát chất lượng ở các hệ thống khác.
Nguyễn Anh Tuấn
(theo The Register)
16:00 | 24/09/2018
14:00 | 12/01/2018
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
08:00 | 22/07/2024
Ba lỗ hổng bảo mật được phát hiện trong ứng dụng quản lý thư viện CocoaPods cho các dự án Cocoa Swift và Objective-C có thể bị khai thác để thực hiện các cuộc tấn công chuỗi cung ứng phần mềm, gây ra rủi ro nghiêm trọng đối với người dùng cuối.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
12:00 | 03/10/2024