Przedstawiciele obozów Windowsa i macOS podczas „wojen systemowych” lubią się czasem poprzerzucać argumentami zawierającymi najbardziej spektakularne wpadki Microsoftu i Apple. Gigant z Cupertino ma się czym „pochwalić” – właśnie pracuje nad załataniem dziury w zabezpieczeniach mac OS High Sierra, którą ujawnił jeden z użytkowników systemu.
Lemi Orhan Erin, który jest twórcą oprogramowania i na co dzień pracuje na systemie Apple, zauważył poważną lukę w zabezpieczeniach najnowszej wersji systemu macOS i podzielił się tym faktem na Twiiterze:
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Najwyraźniej High Sierra pozwala na zalogowanie się na konto root – czyli konto z najwyższymi uprawnieniami (odpowiednik windowsowego System, który w drabince uruchamiania usług może znajdować się wyżej od Administratora). I nie trzeba do tego jakichś specjalnych umiejętności. Ekran logowania „przepuszcza” nachalne próby przejęcia wyższych uprawnień bez podawania hasła. Wystarczy podjąć ich kilka, wpisując w nazwie użytkownika „root” i pozostawiając pole hasła puste.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Nie na wszystkich makach z High Sierra da się powtórzyć ten zabieg, więc trudno określić, jak wiele maszyn jest narażonych na skorzystanie tej luki. Niektórzy twierdzą, że umiejętnie wykorzystując konto root można nawet obejść cały mechanizm logowania.
— Christoph (@zeitgeist_y2k) November 28, 2017
W tym momencie praktycznie każdy, kto dowiedział się o tej dziurze w zabezpieczeniach, może zalogować się na konto root i „grzebać” w naszych komputerach z systemem Apple – a przynajmniej na tych, które są podatne na ten sposób wymuszenia logowania.
Jest jednak działanie, które można podjąć właściwie od ręki, i w tym momencie jest to najlepsze, co można zrobić. Otóż konto root jest domyślnie wyłączone w systemie macOS High Sierra, ale ze względów bezpieczeństwa lepiej je teraz włączyć i ustawić na nim hasło.
By to osiągnąć, trzeba przejść w Prefencjach systemu do panelu Użytkowników. Dalej klikamy na Opcje logowania, odnajdujemy przycisk Serwer kont sieciowych, gdzie przechodzimy do podekranu Narzędzie katalogowe. Tam, w menu Edycji możemy zmienić hasło do konta root. Droga długa, ale obecnie to jedyny sposób na zabezpieczenie się przed niechcianym wykorzystaniem konta wysokich uprawnień.
Oczywiste jest, że aktualnie w kierunku Apple płynie masa negatywnych komentarzy. Wielu nie szczędzi też gorzkich słów w kierunku odkrywcy problemu, sugerując, że mógł narobić wielu szkód, dzieląc się potencjalnie niebezpieczną informacją w przestrzeni publicznej.
Apple jest świadome problemu i pracuje nad załataniem luki drogą aktualizacji, gdyż jak się domyślacie, ustawienie hasła dla konta root to rozwiązanie tymczasowe.
[AKTUALIZACJA]
Apple wypuściło już krytyczną aktualizację, która usuwa opisany powyżej problem. Oznaczona jest nazwą Security Update 2017-001 i można pobrać ją używając tego linku. Po zainstalowaniu łatki bezpieczeństwa nie jest koniczny restart komputera.
dzięki: iMagazine, dobreprogramy.pl