西雅图IT圈:seattleit
【今日作者】宇宙
宇宙第一直男
产品出bug不是什么新鲜事,但是影响几亿人的产品一周之内出了好几个bug就很新鲜了。
上周二推特上一名用户爆出了一个macOS High Sierra(最新的OS版本)里惊天大bug:任何人都可以在不输入任何密码的情况下获得管理员权限 
该用户并介绍了如何获得权限
▼
原来只要用“root”作为用户名,不输入任何密码就可以了!
很难想象,如此愚蠢又尴尬的漏洞会出现在苹果这财大气粗,器大活儿好的公司里。
安全研究员帕特里克-瓦尔德说:“这是最简单易行去黑进入系统的办法,苹果就把它放在盘子里,直接递给了别人。
在这个漏洞爆出来并且在推特上传疯了之后的24小时内,苹果便推出了版本补丁,并且发了道歉信:
『安全对每一款苹果产品来讲都是至关重要的,很遗憾我们在这次的 macOS 更新上犯了错误。当我们的安全工程师在昨天下午意识到这个问题的时候,我们立刻开始着手准备更新并修补漏洞。今晨 8 点,安全更新已经推送,从现在开始补丁将自动安装在运行 macOS High Sierra 10.13.1 的系统上。我们十分遗憾出现了这个错误,我们向所有 Mac 用户道歉,既对带来这样一个漏洞表示歉意,也对带来的关注表示歉意。我们正在审核我们的开发流程,防止这种情况再次发生。』
然而,你要是以为事情就这么愉快的结束了,那你就图样图森破了。
在苹果修改了漏洞之后,很多Mac用户发现这修改bug的补丁和bug本身一样漏洞百出。
-
比如,在安装了安全补丁之后,mac文件分享功能就不好用了,苹果不得不又发了一个文件告诉用户怎么修补:
-
还比如,据很多用户举报,如果在没有升级到最新的 High Sierra 10.13.1的情况下安装了修复补丁,并且之后将系统升级到最新版本的话,之前的root 漏洞就又会出现。
目前为止还不清楚有多少用户被这个补丁漏洞影响,苹果官方似乎也没有给予回复。
然而苹果程序员的噩梦还没有结束。12月2号,很多iOS用户举报,iOS设备在更新iOS 11.1.2后,当时间走到12:15AM的时候,会出现无限重启的情况。
已知包括iPhone 6/Plus、iPhone 6s/Plus、iPhone 7/Plus在内的多款设备都出现了类似的情况。在原因尚不明确的情况下,被影响的用户不得不关闭系统自动时区,手动把系统日期调回到2017年11月28日之前,并重启手机便可暂时稳定。
为了修复该漏洞,苹果很反常的在周六就把补丁更新发布了。苹果一般在每周二才发布系统更新。
咱们总结下上周苹果的软件问题:
-
macOS High Sierra 无密码root权限漏洞
-
macOS High Sierra 安全更新发布,但是搞崩了文件分享
-
macOS High Sierra 安全更新和补丁冲突,导致更新失败。
-
iOS 11 日期通知漏洞。
-
iOS 11.2 提前发布来修补日期漏洞。
不知道苹果的代码质量是不是大不如前了,但是这一系列的事件也突出了对于数亿用户提供技术支持就算对苹果来说也是巨大的挑战。不难想象,这背后的程序员在上周是经历了怎样的oncall。
西雅图IT圈原创
仅有不到7%的公众号, 还在坚持原创如果喜欢, 请分享我们的文章
每天加点料
互联网信息产业链
投稿,转载,商业合作,请联系E-mail:
SeattleITquan@gmail.com
1570
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
