苹果于周四(10/5)释出macOS High Sierra 10.13补充更新程序,修补了两个**漏洞,其中一个漏洞会造成APFS加密卷宗的密码曝光, 另一个漏洞则能用来窃取苹果钥匙圈(keychain)密码。
APFS的全名为Apple File System,为苹果*新开发的文件系统,与9月25日出炉的macOS High Sierra 10.13一同问世,取代了苹果先前所使用的HFS+,并将成为苹果所有操作系统的底层,涵盖macOS 、iOS、tvOS与watchOS。
根据苹果的说明,若用户于磁盘工具程序(Disk Utility)中利用新增APFS卷宗(Add APFS Volume)的指令建立一个加密的APFS卷宗,并启用密码提示功能,那么在密码提示中有可能直接出现密码而不仅仅是提示。
新的补充更新程序**了密码提示中所出现的真实密码,并改善提示的储存逻辑。
另一个**漏洞则是允许恶意软件取得钥匙圈密码。 苹果表示,恶意软件可藉由合成点击以绕过钥匙圈的存取提醒,苹果的修补方式则是在存取钥匙圈时要求用户输入密码。
现在重新下载macOS High Sierra 10.13即会包含上述的补充更新。