Nul
Video: Apple MacOS High Sierra ‘ s største ændringer er ikke synlige
OPDATERET: Apple, Apple, Apple. Hvad vil vi med dig at gøre? I din seneste High Sierra macOS udgivelse, det viser sig, at du har givet en ny måde for enhver lokal bruger for at overtage en Mac — lock, stock, and two smoking barrels.
Gå over til din Mac, der kører High Sierra ‘ en og prøv dette: Varme det op, og gå til din login-skærmen. Nu tjekke “Andre brugere” og indtastet root som brugernavn og lade adgangskoden tom. Så kan du meget vel opdage, at du bare er logget ind i dit system, som root-bruger, der er administrator. Du ejer nu denne boks.
Det betyder, at hvis du stjal en Mac, eller bare få fysisk adgang til én, mens ejeren er væk, du ejer alle data på den. Kan du sige dårlige? Jeg vidste, at du kunne.
Dette er en all-time sikkerhed fiasko. Jeg kan ikke tænke mig noget til at matche det. Alle Mac-computere, der kører op-til-dato macOS er åben for angreb.
Denne udnyttelse kræver ikke nogen mad NSA-type hacker skillz. Hvis du kan bruge et tastatur, du kan få.
I den oprindelige version af denne sikkerhedsopdatering hul blev det konstateret, at alle du havde at gøre er at gå til systemindstillinger, så Brugere og Grupper, og klik på låsen for at foretage ændringer. Derefter indtaster “root” som brugernavn uden en adgangskode. Shazam! Du er i.
Som på mange Unix/Linux-baseret system, root-brugeren kan styre alle administrative funktioner og kan læse og skrive til en fil system, herunder de af andre brugere. I teorien, root er deaktiveret på Apple-systemer, medmindre det udtrykkeligt er tilladt. Forkert!
Når du er i, kan du redigere dine egne tilladelser. For eksempel, ønsker at give dig administratorrettigheder? Sikker! Eller du kan oprette nye administration-niveau konti. Når du har gjort det, kan du gøre alt, hvad hjertet begærer inden for systemet.
Tyrkisk udvikler Lemi Orhan Ergin opdaget denne variation af fejl og annoncerede Apple er bemærkelsesværdigt dumme sikkerhed fejl på Twitter.
Jeg, og mange andre, har tjekket det. Vi har fundet ud af, at hullet er lige så slemt som du tror. Problemet er blevet bekræftet til at eksistere i macOS High Sierra 10.13.0, 10.13.1 (det nuværende Høje Sierra release), og macOS High Sierra 10.13.2 beta.
Det første viste sig, at der ikke kunne kapre et system, der anvender denne trivielle trick på afstand. Siden da, Vil Dormann, CERT/CC sårbarhed analytiker, rapporter fundet”, Hvis du har udsat “Skærm til Deling,” du kan tillade, at personer, ind i din maskine med fuld GUI adgang til, brug af password.” Hertil kommer, at Dormann opdaget “Apple ‘Remote Management’, der også har den samme eksponering. Hvis “Kontrol” er aktiveret, der giver fuld interaktive remote root-adgang til et system, uden at det kræver en adgangskode.”
Apple har bekræftet, at problemet eksisterer. I en erklæring, Apple sagde, at du tilføjer en adgangskode for root ville løse problemet. En Apple-talsmand tilføjede: “Vi arbejder på et software-opdatering for at løse dette problem.”
Dette gør fire — tælle dem, fire — password-relaterede problemer med sikkerheden, da High Sierra blev udgivet i September.
For øjeblikket, skal du — skal — angive en adgangskode for root-konto. Du kan gøre dette med følgende kommando i terminalen:
sudo passwd -u root
Når du har oprettet en adgangskode for root, tom adgangskode trick virker ikke.
Så hvad venter du på? Angiv root-adgangskode, der allerede!
Relaterede historier:
Apple løser to High Sierra password bugsEx-NSA hacker dråber macOS High Sierra zero-day timer før launchmacOS High Sierra, Først Tage: et Solidt fundament, men lys på eye candy
Relaterede Emner:
Pc ‘ er
iPhone
Hardware
Mobilitet
Smartphones
Tabletter
0