Σοβαρό κενό ασφαλείας εντοπίστηκε στο macOS High Sierra μέσω του οποίου ένας κακόβουλος χρήστης με φυσική πρόσβαση στον υπολογιστή μπορεί να αποκτήσει root (!) πρόσβαση.
H ανακάλυψη πραγματοποιήθηκε από τον developer Lemi Orhan Ergin ο οποίος επικοινώνησε δημόσια με το @AppleSupport:
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Πώς να προστατευτείτε, μέχρι να κυκλοφορήσει το επίσημο update με το security fix από την Apple:
Απενεργοποιήστε τον GUEST USER στο macOS High Sierra
- Πλοηγηθείτε στο System Preferences
- Επιλέξτε Users & Groups
- Επιλέξτε Guest User
- Ξετσεκάρετε το “Allow guests to log in to this computer”
Αλλάξτε το ROOT PASSWORD στο macOS High Sierra
- Πλοηγηθείτε στο System Preferences
- Επιλέξτε Users & Groups
- Επιλέξτε Login Options
- Επιλέξτε Join, δεξιά από το “Network Account Server”
- Επιλέξτε “Open Directory Utility”
- Από το κεντρικό menu bar του Directory Utility, επιλέξτε “Change Root Password” και εισαγάγετε ένα νέο, ασφαλές, password
