蘋果於周四 (10/5) 釋出macOS High Sierra 10.13補充更新程序, 修補了兩個安全漏洞, 其中一個漏洞會造成APFS加密卷宗的密碼曝光, 另一個漏洞則能用來竊取蘋果鑰匙圈 (keychain) 密碼.
APFS的全名為Apple File System, 為蘋果最新開發的檔案系統, 與9月25日出爐的macOS High Sierra 10.13一同問世, 取代了蘋果先前所使用的HFS+, 並將成為蘋果所有作業系統的底層, 涵蓋macOS , iOS, tvOS與watchOS.
根據蘋果的說明, 若用戶於磁碟工具程序 (Disk Utility) 中利用新增APFS卷宗 (Add APFS Volume) 的指令建立一個加密的APFS卷宗, 並啟用密碼提示功能, 那麼在密碼提示中有可能直接出現密碼而不僅僅是提示.
新的補充更新程序清除了密碼提示中所出現的真實密碼, 並改善提示的儲存邏輯.
另一個安全漏洞則是允許惡意軟體取得鑰匙圈密碼. 蘋果表示, 惡意軟體可藉由合成點擊以繞過鑰匙圈的存取提醒, 蘋果的修補方式則是在存取鑰匙圈時要求用戶輸入密碼.
現在重新下載macOS High Sierra 10.13即會包含上述的補充更新.