Σοβαρό κενό ασφαλείας εντοπίστηκε στο macOS High Sierra μέσω του οποίου ένας κακόβουλος χρήστης με φυσική πρόσβαση στον υπολογιστή μπορεί να αποκτήσει root (!) πρόσβαση.
H ανακάλυψη πραγματοποιήθηκε από τον developer Lemi Orhan Ergin ο οποίος επικοινώνησε δημόσια με το @AppleSupport:
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Όπως φαίνεται, το κενό ασφαλείας αφορά και το Keychain…
It works with Keychain as well to show passwords. I wonder how long it will take for Apple to release an update.
— Arthur Wiebe (@artooro) November 28, 2017
Πώς να προστατευτείτε, μέχρι να κυκλοφορήσει το επίσημο update με το security fix από την Apple:
Απενεργοποιήστε τον GUEST USER στο macOS High Sierra
- Πλοηγηθείτε στο System Preferences
- Επιλέξτε Users & Groups
- Επιλέξτε Guest User
- Ξετσεκάρετε το “Allow guests to log in to this computer”
Αλλάξτε το ROOT PASSWORD στο macOS High Sierra
- Πλοηγηθείτε στο System Preferences
- Επιλέξτε Users & Groups
- Επιλέξτε Login Options
- Επιλέξτε Join, δεξιά από το “Network Account Server”
- Επιλέξτε “Open Directory Utility”
- Από το κεντρικό menu bar του Directory Utility, επιλέξτε “Change Root Password” και εισαγάγετε ένα νέο, ασφαλές, password
