Mise à jour de sécurité critique pour macOS High Sierra libéré pour corriger le bug de racine, téléchargez et installez maintenant

Apple a publié une mise à jour de sécurité critique pour macOS High Sierra afin de résoudre le problème de connexion root qui permet à quiconque de se connecter à macOS High Sierra sans mot de passe.

Tous les utilisateurs de macOS High Sierra doivent installer la mise à jour de sécurité dès que possible pour protéger leur Mac, même s'ils ont déjà utilisé le correctif de connexion racine détaillé ici . C'est peut-être la mise à jour de sécurité la plus urgente pour le logiciel système macOS High Sierra, car elle corrigera complètement le trou de sécurité.


La mise à jour logicielle est appelée "Security Update 2017-001" et est exclusive à macOS High Sierra. Les notes brèves jointes au téléchargement de l'App Store indiquent "Installez cette mise à jour dès que possible. La mise à jour de sécurité 2017-001 est recommandée pour tous les utilisateurs et améliore la sécurité de macOS. "

Comment installer macOS High Sierra Security Update 2017-001

  1. Allez dans le menu Apple et choisissez "App Store"
  2. Cliquez sur l'onglet "Mises à jour"
  3. Lorsque vous voyez "Mise à jour de sécurité - Installez cette mise à jour dès que possible. Mise à jour de sécurité 2017-001 "disponible, cliquez sur le bouton" Mettre à jour "

La mise à jour de sécurité, qui semble s'appliquer à l'application "Directory Utility" dans macOS, ne nécessite pas de redémarrer le Mac pour que les modifications prennent effet.

Notes de mise à jour de macOS High Sierra Security Update 2017-001

Les notes de téléchargement sont succinctes ("Installez cette mise à jour dès que possible) Security Update 2017-001 est recommandé pour tous les utilisateurs et améliore la sécurité de macOS."), Mais Apple détaille le bogue et les notes de version du correctif de sécurité. ici sur une page de support:

Mise à jour de sécurité 2017-001

Paru le 29 novembre 2017

Utilitaire de répertoire

Disponible pour: macOS High Sierra 10.13.1

Non impacté: macOS Sierra 10.12.6 et versions antérieures

Conséquences: un attaquant peut contourner l'authentification de l'administrateur sans fournir le mot de passe de l'administrateur

Description: Une erreur de logique existait dans la validation des informations d'identification. Cela a été résolu avec une validation améliorée des informations d'identification.

CVE-2017-13872

Lorsque vous installez Security Update 2017-001 sur votre Mac, le numéro de build de macOS sera 17B1002. Apprenez à trouver la version de macOS et le numéro de build sur votre Mac.

Si vous avez besoin du compte d'utilisateur root sur votre Mac, vous pouvez activer l'utilisateur root et modifier le mot de passe de l'utilisateur root.

Confirmation de la mise à jour de sécurité appliquée à un Mac

Notez que bien que vous puissiez télécharger la mise à jour du logiciel vous-même, Apple va commencer à pousser automatiquement le téléchargement vers les machines macOS High Sierra plus tard.

Le moyen le plus simple de confirmer que la mise à jour de sécurité 2017-001 a été appliquée à un Macintosh particulier exécutant macOS High Sierra consiste à vérifier le numéro de build Mac OS sur l'ordinateur.

  1. Déroulez le menu APPLE et choisissez "À propos de ce Mac"
  2. Cliquez sur le texte "Version" directement sous la bannière "macOS High Sierra"
  3. Le numéro de build apparaîtra à côté de la version, s'il indique "(17B1002)", la mise à jour de sécurité a été installée avec succès

Dans l'exemple de capture d'écran, la version de construction de macOS High Sierra est antérieure à 17B1002 et, par conséquent, le correctif de sécurité n'a pas encore été installé.

Vous pouvez également vérifier le numéro de build d'une version de Mac OS à l'aide de Terminal et de la syntaxe de commande suivante:

sw_vers

Selon les tweets postés par le journaliste Mathew Panzarino de TechCrunch, Apple a publié la déclaration suivante sur la faille de sécurité et la mise à jour de sécurité macOS High Sierra:

"La sécurité est une priorité pour tous les produits Apple, et malheureusement nous avons trébuché avec cette version de macOS"

"Lorsque nos ingénieurs de sécurité ont pris connaissance du problème mardi après-midi, nous avons immédiatement commencé à travailler sur une mise à jour qui ferme le trou de sécurité. Ce matin, à partir de 8h, la mise à jour est disponible au téléchargement, et à partir d'aujourd'hui elle sera automatiquement installée sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra.
Nous regrettons grandement cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour la libération de cette vulnérabilité et pour les problèmes qu'elle a causés. Nos clients méritent mieux. Nous vérifions nos processus de développement pour éviter que cela ne se reproduise. "

Remarque Apple précise que la mise à jour est disponible au téléchargement maintenant, et "à partir d'aujourd'hui elle sera automatiquement installée sur tous les systèmes exécutant la dernière version (10.13.1) de macOS High Sierra)." Cela semble impliquer qu'Apple utilisera le mécanisme de mise à jour de sécurité automatisé disponible sur le Mac App Store pour essayer de transmettre la mise à jour de sécurité critique aux clients.

Il est fortement recommandé d'installer la mise à jour du logiciel de sécurité sur tout Macintosh exécutant macOS High Sierra dès que possible.

Un lien de téléchargement direct pour macOS High Sierra Security Update 2017-001 n'est pas encore disponible, mais devrait apparaître ici une fois qu'il apparaît.