苹果于周四 (10/5) 释出macOS High Sierra 10.13补充更新程序, 修补了两个安全漏洞, 其中一个漏洞会造成APFS加密卷宗的密码曝光, 另一个漏洞则能用来窃取苹果钥匙圈 (keychain) 密码.
APFS的全名为Apple File System, 为苹果最新开发的文件系统, 与9月25日出炉的macOS High Sierra 10.13一同问世, 取代了苹果先前所使用的HFS+, 并将成为苹果所有操作系统的底层, 涵盖macOS , iOS, tvOS与watchOS.
根据苹果的说明, 若用户于磁盘工具程序 (Disk Utility) 中利用新增APFS卷宗 (Add APFS Volume) 的指令建立一个加密的APFS卷宗, 并启用密码提示功能, 那么在密码提示中有可能直接出现密码而不仅仅是提示.
新的补充更新程序清除了密码提示中所出现的真实密码, 并改善提示的储存逻辑.
另一个安全漏洞则是允许恶意软件取得钥匙圈密码. 苹果表示, 恶意软件可藉由合成点击以绕过钥匙圈的存取提醒, 苹果的修补方式则是在存取钥匙圈时要求用户输入密码.
现在重新下载macOS High Sierra 10.13即会包含上述的补充更新.