Hora de instalar atualizações! Na semana passada, alertamos sobre um erro no macOS High Sierra que tornava possível que um invasor extraísse senhas do Apple Keychain em texto puro. O bug foi descoberto e relatado pelo pesquisador chefe da Synack, Patrick Wardle, no começo de setembro. Agora a Apple lançou uma correção para o problema.
• Novo macOS lançado nesta segunda-feira já vem com falha de segurança
• A Central de Controle do iOS 11 engana o usuário e não desabilita Wi-Fi e Bluetooth
“Um método existia para que aplicações burlassem o prompt de acesso do keychain com um clique sintético. Isso foi corrigido ao exigir a senha do usuário na hora de exibir o acesso ao keychain”, diz a Apple na nota de atualização.
O update vem com outra atualização de segurança bastante importante. O pesquisador brasileiro Matheus Mariano descobriu que, ao pedir a exibição da dica de senha para lembrar da chave de criptografia em volumes APFS, a senha em si era exibida, em vez da dica.
Tried myself & it's true: #HighSierra shows the #APFS volume password as hint. Persists reboots, not stored in keychain. Wow. Just wow. pic.twitter.com/FkcHI9KHl9
— Felix Schwarz (@felix_schwarz) 5 de outubro de 2017
Instalar a atualização consertará o problema, mas a Apple tem uma lista de passos recomendados para esse caso, incluindo mudar as senhas dos volumes APFS criptografados.
Imagem do topo: Getty