În cursul zilei de ieri a fost făcut public un bug major ce afectează macOS High Sierra 10.13 și care permite (aproape) oricărui utilizator să se conecteze cu contul root (cel cu drepturi depline) pe orice sistem. Dacă are acces fizic la sistem iar contul root nu a fost activat anterior și protejat prin parolă, ceea ce probabil se întâmplă pe marea majoritate a sistemelor.
Cine are acces la un Mac cu macOS High Sierra poate testa: încercați să executați o comandă pentru care e nevoie de drepturi depline, iar când vi se prezintă fereastra de dialog, scrieți root în dreptul contului și apoi apăsați butonul unlock. Repetați figura de câteva ori și o să vă treziți că aveți acces pe sistem.
Din câte am citit operațiunea se poate (putea) realiza și direct din ecranul de login.
Să zicem că e ceva similar cu celebrul bug de autentificare din Windows 95, unde era de ajuns să apeși Cancel pe fereastra de login ca să ai acces la sistemul de operare.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use “root” with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Apple știe de problemă și deja a oferit un patch – dacă folosiți un macOS High Sierra mergeți rapid la About this Mac și apoi Software Update ca să instalați update-ul, dacă nu cumva el s-a instalat pe ascuns, imediat ce ați pornit sistemul și el s-a conectat la Internet.
Eu așa am pățit, și nu a mai fost nevoie să activez pașii manuali de protecție – adică să creez manual un cont cu numele root în macOS High Sierra și pentru el să asociez o parolă complexă.
Apple s-a mișcat foarte repede și într-un fel îmi place ideea că aplică automat patch-ul fără ca utilizatorii să fie întrebați… Adică face și pe MacBook ceea ce face pe oricare alt iDevice: intră când are chef, instalează ce are chef?
Indiferent dacă sistemul vă este protejat sau nu, părerea mea este că trebuie să știți de această vulnerabilitate și să vă luați rapid măsurile de protecție.
