Noll
Video: Apple MacOS High Sierra är den största förändringen inte är synlig
UPPDATERAD: Apple, Apple, Apple. Vad ska vi göra med dig? I din senaste High Sierra macOS-versionen, det visar sig att du har gett ett sätt för alla lokala användare att ta över en Mac — lock, stock och två rökning barrels.
Gå över till din Mac som kör High Sierra och prova det här: Vakna upp och gå till inloggningssidan. Kontrollera nu “Andra Användare” och in root som användarnamn och lämna password tomt. Du kan mycket väl hitta som du precis har loggat in i systemet som root-användaren, som är administratör. Nu äger du denna ruta.
Det innebär att om du vann en Mac, eller bara få fysisk tillgång till en när man är borta, du äger alla data på det. Kan du säga dåligt? Jag visste att du kunde.
Detta är en all-time säkerhet misslyckande. Jag kan inte komma på något att matcha det. Alla Mac-datorer med upp-to-date macOS är vidöppen för attacker.
Detta utnyttjar inte kräver någon galen NSA-typ hacker skillz. Om du kan använda ett tangentbord som du kan få.
I den ursprungliga versionen av detta säkerhetshål det konstaterades att allt du måste göra är att gå till systeminställningar, då Användare och Grupper och klicka på låset för att göra ändringar. Sedan skriver du “root” som användarnamn utan ett lösenord. Shazam! Du är i.
Som på de flesta Unix/Linux-baserat system root-användaren kan styra alla administrativa funktioner och kan läsa och skriva till alla filsystem, inklusive andra användare. I teorin, root är inaktiverad på Apples system om det inte uttryckligen godkänts. Fel!
En gång, du kan redigera dina egna behörigheter. Till exempel, vill ge dig administratörsbehörighet? Säkert! Eller, du kan sätta upp nya administration-nivå konton. När du har gjort det, du kan göra vad ditt hjärta önskar inom systemet.
Turkiska utvecklare Lemi Orhan Ergin upptäckte denna variant av fel och meddelade Apples anmärkningsvärt dum säkerhet misstag på Twitter.
Jag, och många andra, har kollat upp det. Vi har funnit att hålet är precis så illa som du tror. Problemet har varit bekräftat att existera i macOS High Sierra 10.13.0, 10.13.1 (den nuvarande Höga Sierra release), och macOS High Sierra 10.13.2 beta.
Det visade sig först inte kunde kapa ett system med hjälp av detta triviala trick på distans. Sedan Kommer Dormann, ett CERT/CC sårbarhet analytiker, rapporter found “Om du har synliga “skärmdelning,” du kan tillåta att personer i din maskin med full GUI tillgång, använder inget lösenord.” Dessutom Dormann upptäckte “Apple ‘Remote Management” har också samma exponering. Om “Kontroll” är aktiverad, som ger fullt interaktiva root-tillgång till ett system, utan att kräva ett lösenord.”
Apple har bekräftat problemet finns. I ett uttalande, sade Apple att lägga till ett lösenord för root skulle fixa problemet. En Apple-talesmannen tillade, “Vi arbetar på en uppdatering för att lösa detta problem.”
Detta gör fyra-räkna dem, fyra-lösenord-relaterade säkerhetsproblem eftersom High Sierra, släpptes i September.
För att du måste-måste-ställa in ett lösenord för root-kontot. Du kan göra detta med följande kommando i terminalen:
sudo passwd -u root
När du har ställt in ett lösenord för root, tomt lösenord trick kommer inte att fungera.
Så, vad väntar du på? Ställa in root-lösenordet redan!
Relaterade artiklar:
Apple fixar två High Sierra lösenord bugsEx-NSA hacker droppar macOS High Sierra zero-day timmar innan launchmacOS High Sierra, Ta Först: en Solid grund, men ljus på ögongodis
Relaterade Ämnen:
St
iPhone
Hårdvara
Rörlighet
Smartphones
Tabletter
0