Software တိုင်း၊ Apps တိုင်း၊ OS တိုင်းမှာတော့ Security Flaw တွေ ကိုယ်စီ၊ ကိုယ်စီ ရှိကြတာပါပဲ။ တစ်ချို့ Flaws တွေကတော့ ကျွမ်းကျင်သူတွေ Hack မှ ရတယ် ဆိုပေမယ့် တစ်ချို့ Flaws တွေ ကျတော့လည်း End-User တွေတောင် ဘာ Code မှ ရေးစရာ မလိုပဲ System တစ်ခုလုံးကို ဂျွမ်းပြန်သွားအောင် လုပ်ပစ်နိုင်ပါတယ်။
အခု macOS High Sierra မှာ ရှိနေတဲ့ Security Flaw ကတော့ ဒုတိယအမျိုးအစားလို့ ပြောရမှာပါ။ နောက်ပြီးတော့ ပိုဆိုးသွားတာက သာမာန် Access မဟုတ်ပဲ Root Access ကိုပါ ပေးပစ်လိုက်တာပါ။ ဒီတော့ အခုလောလောဆယ် macOS High Sierra မှာ ရှိနေတဲ့ Security Flaw ကို Major အဆင့် သတ်မှတ်လို့ရတယ်လို့ ဆိုနိုင်ပါတယ်။ ကျနော်ကတော့ Major အဆင့်ထက်ကို ပိုတယ်လို့ ထင်ပါတယ်။
macOS High Sierra မှာ Username နဲ့ Password တောင်းပြီဆိုရင် Username နေရာမှာ “root” လို့ရိုက်၊ Password နေရာကို ချန်ခဲ့ပြီး Unlock ကို နှစ်ချက်နှိပ်လိုက်တာနဲ့တင် Root Access ရသွားပြီ ဖြစ်ပါတယ်။ ကျနော်ကိုယ်တိုင်လည်း စမ်းကြည့်ပါသေးတယ်။ Mac သမားတွေ အတွက်ကတော့ စိတ်ပျက်စရာပါပဲ။ ကျနော်ကတော့ Password တောင် ရိုက်စရာမလိုပဲ Root Access ပေးပစ်လိုက်တာဟာ မဖြစ်သင့်၊ မဖြစ်ထိုက်တဲ့ Security Flaw တစ်ခုပဲလို့ ဆိုချင်ပါတယ်။
Security Researcher တစ်ယောက်ဖြစ်သူ Patrick Wardle က
“Root Access ကို ရယူနိုင်ဖို့ ကြိုးစားနေကြတဲ့ Malware တွေကို ကျနော်တို့ အနေနဲ့ တစ်နေ့တစ်ခြား မရိုးရအောင် တွေ့နေရပါတယ်။ အခု Security Flaw ကတော့ မသမာတဲ့ Malware တွေလက်ထဲကို “ရော့ Root Access ယူသွား” ဆိုပြီး ကြွေပန်းကန်ပေါ် အဆင်သင့် တင်ပေးလိုက်သလိုပါပဲ”
လို့ ပြောကြားခဲ့ပါတယ်။
— patrick wardle (@patrickwardle) November 28, 2017
MalwareBytes က Apple-focused Security Researcher တစ်ယောက်ဖြစ်သူ Thomas Reed ကလည်း
“မသမာတဲ့ Malware တွေအနေနဲ့ အခုလိုမျိုး Security Flaw ကြောင့် macOS High Sierra အသုံးပြုသူတွေကို Attack လုပ်ဖို့ ရာခိုင်နှုန်း တော်တော်လေး များသွားပြီဗျ။ ဥပမာ ပြောရရင်ဗျာ macOS High Sierra တင်ထားတဲ့ စက်ကနေ Root Access အရင် ရယူမယ်။ ပြီးရင် Root Password ကို ပြောင်းပစ်လိုက်မယ်။ နောက်ပြီးရင် ကြိုက်တဲ့အချိန် အဲ့ဒီစက်ကို Access လုပ်လို့ ရနေတော့မှာဗျ။ တော်တော်ကြောက်စရာ ကောင်းတယ်။”
လို့ ပြောခဲ့ပါသေးတယ်။
Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp
— Amit Serper (@0xAmit) November 28, 2017
Myanmar Links ရဲ့ Chief Trainer ဖြစ်သူ ဆရာစိုးသီဟနောင် ကလည်း
“Apple တို့ကတော့ မပေါက်တော့လည်း မပေါက်ဘူး။ ပေါက်တော့လည်း Root Access ပါ ပေးပစ်လိုက်တော့ ကုန်ပြီပေါ့ဗျာ။ ပြောရရင်တော့ Root Access ပေးပစ်လိုက်တယ်ဆိုတာ လုံးဝ မဖြစ်သင့်ဘူးဗျ။”
လို့ ပြောပါသေးတယ်။
Apple အနေနဲ့လည်း အခုပြဿနာကို သိရှိပြီးကြောင်းနဲ့ Software Fix ထုတ်ပေးသွားမည်ဖြစ်ကြောင်း တရားဝင်ကြေငြာခဲ့ပါတယ်။ Software Fix မထုတ်ပေးနိုင်မီ ကာလအတော်အတွင်းမှာလည်း Malware တိုက်ခိုက်မှုတွေ၊ Black Hat တွေရဲ့ တိုက်ခိုက်မှုတွေ မခံရအောင်အတွက် "Root User ကို ဘယ်လို Enable လုပ်မလဲ?၊ Root User ကို Enable လုပ်ပြီးရင်ကော Root Password ဘယ်လို ပြောင်းမလဲ?" စတာတွေကို Apple Website မှာ Tutorial တစ်ခုအနေနဲ့ တင်ထားပြီ ဖြစ်ပါတယ်။
အခုလောလောဆယ် macOS High Sierra ကို အသုံးပြုနေသူတွေအတွက် Apple ဘက်က Software Fix မထုတ်ပေးမီ ကြားကာလထဲမှာ Root Password ကို ပြောင်းထားကြပါလို့ အကြံပေးချင်ပါတယ်။ ကျနော်ကိုယ်တိုင်လည်း Root Password ပြောင်းပြီးသွားပါပြီ။ လုပ်ပုံလုပ်နည်းကိုလည်း Apple Website မှာ သွားကြည့်နိုင်ပါတယ်။
Join Us On