如何評價 macOS High Sierra 系統 root 用戶訪問漏洞?
蘋果回應新macOS系統root賬號訪問漏洞:下個補丁修復_Apple macOS_cnBeta.COM
蘋果的軟體質量就是個笑話,以前爛,現在也爛,將來更爛!當年我給開發mfi配件時遇到蘋果系統軟體的問題,然後好心的寫了一份郵件報告了問題,最後的回復(你們要麼有能力繞過去,要麼解決不了產品就不能上市,當前我還改不了)讓人寒心,另外還有幾個問題延續好幾代也不曾解決,真的是爛出一脈相承了。我跟同事開玩笑的說蘋果是一家美術動畫公司,能力不行動畫來補。有點扯遠了,反正以後會越來越爛的也就沒什麼好大驚小怪了。
上次 Apple Maps 多大點事,居然炒了 Scott Forstall 祭天,現在出這麼多簍子 Craig Federighi 還沒事,想必是還有更大的問題沒爆出來,留著一顆人頭還有用
這件事微軟真的好好反思反思。
蘋果軟體一直那麼爛,還是被那麼多人追隨吹捧,安全,快,牛逼。
再想想你自己,這麼多年基本沒出啥大紕漏,兼容性做到那麼變態。還是被噴成一坨翔這種弱智級的漏洞在這種迭代這麼久的系統軟體中看到,我實在是不知道如何評價,如果一定要評價,那隻能說,用心做動畫,用腳寫邏輯。
有些果粉就是喜歡在這種問題下,提一點Windows的問題出來轉移話題,然後灰溜溜的被人臉都打腫了。講個笑話,我沒有看見答主的答案拿你家蘋果去比Windows,這些果粉就先拿Windows扣別人一腦袋,看得我一臉莫名其妙。
看到還有一些果粉甚至拿出WinMe/Win2K/WinXP來說事:
Windows XP是Microsoft在2001年10月25日推出的基於X86、X64架構的PC和平板電腦使用的操作系統,包括商用及家用的台式電腦等,大小為575MB~1GB。
微軟中國此前宣布對WindowsXP的支持將在2014年4月8日結束。
這些果粉們,我請你去用2001年剛發布的macOS系統好不好?或者你換回2014年的macOS好不好?
2015年1月13日,微軟正式終止了對Windows 7的主流支持
連Windows7都已經停止主流技術支持了,還拿一個早就停止技術支持的WinXP來說事,一定是WinXP吃你家大米了。
還有人提出永恆之藍系列漏洞的利用攻擊。我只能說微軟很棒了,但是還是沒能叫醒裝睡的人。微軟可是在襲擊的兩個月前就放出了安全公告和補丁,補丁當然是自動更新了。
這個漏洞出現之時,微軟也依然堅持給16年前的WinXP提供了補丁。
大規模永恆之藍系列漏洞利用攻擊是在2017年5月12日。
真是不知道這些果粉腦迴路是怎麼長的?除了腦子進蘋果了,我想不出其他形容詞。
某些果粉很喜歡拿著裝著一坨全家桶的Windows說Windows卡,還有一些wannacry和永恆之藍啥是啥都搞混的果粉,說Windows不安全,然後自己等下就去把UAC拉到最低,自動更新禁用,之後馬上裝上國產綠色衛士,安裝之後去綠色衛士點幾下滑鼠進行系統優化就以為自己達到用Windows的最高境界了,然後他們和macOS一對比,結論是顯而易見的:Windows垃圾。
這些果粉只願意相信自己相信的,對於現實甚至都不敢直面一下,以至於有人回答「蘋果軟體質量是笑話」,這些果粉臉都漲紅了——馬上就對答主說:你Windows關掉自動更新之後真垃圾!之後便在桌上排出幾十個Windows漏洞,又故意高聲嚷到:蘋果的漏洞,能算漏洞嗎?
歡迎這些果粉對號入座。
另外,我希望這些果粉 以後在你們不熟悉的事情上,不要張嘴就批判了,無非就是黑一黑來獲得一點優越感。希望你們把這些精神發揚在你們蘋果自己的產品上,而不是讓你們還在用的這樣一個系統,被外人輸入個root就搞定了。啊,並不是不讓你批判Windows,而是你對Windows並不了解。
這篇文章詳細解釋了這個漏洞發生的原因,Why _blank_ Gets You Root
大概就是,用未激活的用戶登錄點unlock時,第一次會用你的密碼創建一個profile,第二次點就驗證通過了。
很有可能是某個函數返回值非0代表失敗,但是調用時候非零當成成功了。
PS,那篇文章是Google員工寫的。
和身份驗證/許可權驗證有關的退化bug(regression bug)一般來說,很可能是原先負責這個模塊的工程師轉崗離職以後由新人接手導致的。新人在這塊很容易寫出那種「負負得正」的能通過黑盒測試的錯誤代碼
原因是,身份驗證/許可權驗證這部分天生具有很高的複雜性,它的複雜性不光體現在API參數多,還體現在調用API並對返回結果進行判斷、處理的一大段代碼的代碼形狀必須正確,而且往往這種代碼還不能封裝成函數。這個基本上只有最先設計這個模塊的工程師不會搞錯,接手的新人負負得正很正常
而且這類bug,即使去修,也容易修成新的「負負得正」
給大家講個笑話,Apple的軟體有質量。
話說Apple不只是桌面軟體質量爛,互聯網服務的質量更是爛的不要不要的,前兩天我reset了Apple ID的密碼,然後你猜怎麼著?global的密碼改了,中國區的密碼居然還是老的?
現在我的Mac乾脆就沒法登陸iCloud,因為據我猜測在登錄的過程中這個玩意兒即會訪問中國區的伺服器(因為我的iCloud賬號是中國區的賬號),也會訪問global的伺服器(因為Apple有一票服務都不在中國),所以每次登錄都會報告一個「發生未知的錯誤」。iPhone貌似稍好,至少AppStore還能用,無非就是買東西的時候TouchID廢了而已。
一個特么要不了幾千行就能搞定的OpenID Service居然能做到爛成這樣也真是日了哈士奇了。
管他娘的,反正我也不怎麼用iCloud,有用的東西全在DropBox上放著呢。
趕緊更新先。$ sudo softwareupdate -ai
太正常了。Apple軟體的最大亮點就是用戶交互界面,掩藏在漂亮UI之下的部分一貫就是不怎麼樣的。root空密碼,讓我懷疑Apple有沒有專門的安全測試團隊。
不愧為蘋果
連bug都簡單易用。
聽說你果的系統安全舒心?
剛剛買了17款mbp 15 一個多月就出了這個問題...當時學校的it勸我不要升級high serria我不信 覺得蘋果已經發布的系統應該是很有把握的 是真的失望了現在中文輸入法也經常卡死 touch bar也經常無法顯示候選詞 只能去到activity monitor裡面強制退出輸入法。有的時候touch bar右邊的控制欄還不顯示iTunes的播放控制 重啟電腦才能解決。微信發大一點的視頻有時候還會閃退。
記得以前油管有個頻道主測試老Mac裝Windows,結果運行十分流暢。然後我酸了一句這是在黑蘋果。後來用多了發現Mac的確是做得不如Windows,但是terminal實在是舒暢。動畫優先的設計掩蓋了性能問題,加上逼格高。
你覺得Mac、iPad、iPhone不好用?那你該換硬體了。(我最後悔是給老pad升級了系統,升級完後直接成幻燈片。系統優化居然靠硬體堆簡直惱人。)後來我就把所有老設備升級給關了。這次漏洞,越來越讓我覺得蘋果是個奢侈品了。Apple:我們通過巧妙的在系統中適量增加Bug,影響用戶體驗,以減少用戶使用電子產品的時間,保護您的健康
令人十分失望,本身macOS就有一堆堆的小毛病讓人很煩,不僅解決不了,現在還爆出這麼匪夷所思的漏洞。Windows系筆記本加油啊。
#情況更新#
macOS於11月29日收到安全性更新2017-001。
引用於Apple Support:
About the security content of Security Update 2017-001
Directory Utility
Available for: macOS High Sierra 10.13.1Not impacted: macOS Sierra 10.12.6 and earlier Impact: An attacker may be able to bypass administrator authentication without supplying the administrator』s passwordDescription: A logic error existed in the validation of credentials. This was addressed with improved credential validation.CVE-2017-13872
(感覺這次的反應速度要比前幾次快,可能是此次安全問題較為嚴重)
#補充#
引用 @孫志貴 的專欄文章,其解釋得更加清楚。
論及 macOS 10.13 2017-001 緊急資安更新
不說漏洞, 就說系統本身, 升級了macos 10.13後一堆bug, 如有時finder滾動條會錯亂, 如textedit打開長文檔後顯示不全(只能顯示上邊的一部分內容。)。還有單副本大文件刪除後佔用空間仍然不會被釋放╮(╯▽╰)╭ 總之非常後悔升級了。
殺幾個程序員祭天吧。
推薦閱讀:
TAG:macOS | Bug | 漏洞 | macOSHighSierra |