Найдена уязвимость в Mac OS High Sierra, позволяющая войти суперпользователем в незащищенный компьютер
https://habrahabr.ru/post/343452/
Был опубликован твит, согласно которому можно получить привелегии суперпользователя, если в окошке System Preferences > Users & Groups открыть любого пользователя, щелкнуть на замке, после чего указать root в качестве пользователя и оставить пароль пустым. Несколько (sic!) кликов по Unlock «убеждают» MacOS в необходимости предоставить права суперпользователя.
Уязвимость была экспериментально подтверждена множеством пользователей.
Что еще хуже, данный трюк работает на экране входа в систему.
image
Скриншот из твита
Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
sudo passwd -u root
и задать суперпользователю нескучный пароль (источник). Есть так же способ сделать то же самое, но через GUI.
Update
По информации ресурса TechCrunsh, Apple выступила со следующим заявлением касательно произошедшего:
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.
Мы работаем над обновлением, которое исправит данную проблему. Пока оно не вышло, для предотвращения несанкционированного доступа к вашему компьютеру следует задать пароль на root, инструкция доступна здесь. Если пользователь root уже активен, нужно убедиться, что пароль не является пустым.
И от себя - проверил, уязвимость есть и работает. high Sierra 10.13.1. Меняйте пароль рута, но саму учетку не отключайте ни в коем случае.