macOS High Sierra 用户再一次遭受到一个严重的 APFS 漏洞影响。在5个月前,就曾曝出两个严重漏洞影响苹果的新型文件系统格式。
Mac 取证专家 Sarah Edwards 发布报告指出,macOS High Sierra 的新版本以明文形式为 APFS 格式化的外部设备记录加密密码,并将该信息存储在具有非易失性(磁盘上)的日志文件中。
该漏洞如遭利用可导致攻击者轻松访问经加密的 APFS 外部驱动如 USB、携带式硬盘和其它外部存储媒介的加密密码。
该漏洞违反了所有已知的苹果开发和安全规则,根据安全开发规则,应用程序应该使用 Keychain app存储具有高价值的信息,而且应该避免以明文形式存储密码。
漏洞以不同方式影响不同的操作系统版本
该漏洞影响 macOS High Sierra 版本 v10.13 至最新的 v10.13.3,不过影响方式不同。
Edwards 表示,当用户创建一个新的 APFS 驱动并选择加密密码时,Disk Utility.app 会在统一的操作系统日志中记录加密密码。从 Edwards 和其他人的测试来看,这个问题似乎仅影响 macOS 10.13 和 10.13.1 而非最新版本。
虽然这个问题已在最新的 macOS 版本中恢复,但 Edwards 表示 macOS 10.13.3 (以及很可能包含早期版本)将在用户加密一个已存在的 APFS 格式的外部驱动时记录加密密码。
这两种问题都是边缘用例,影响的是拥有自己的外部存储设备并使用 APFS 格式化的用户,因此目前来看它并非是影响范围广泛的问题。
是第三个严重的 APFS 漏洞
这是自苹果公司在2017年3月向 macOS 用户推出被称为下一个高端文件系统格式的 APFS 技术以来,收到的第三份漏洞报告。
2017年10月份,研究人员发现 macOS High Sierra 通过密码提示问题暴露加密 APFS 驱动的密码。苹果于几天后在该问题未扩散到网络时修复了这个令人尴尬的问题。
今年2月份,研究人员指出在某些情况下,macOS 在处理APFS 分散磁盘图像时被指将用户数据丢失。
苹果通常会快速响应这些漏洞问题并在几天内修复,尤其是当这次漏洞在社交媒体传播时更是如此。