[Исправлено] Mac, по-видимому, поставляется с учетной записью «Superuser», которую любой может включить без пароля (Вот как это можно отключить)

[Обновление]: проблема была исправлена. Исследователи безопасности выявили ошибку в macOS от Apple, которая затрагивает даже самую последнюю версию операционной системы.

[Обновление]: проблема была исправлена.

Исследователи безопасности выявили ошибку в macOS от Apple, которая затрагивает даже самую последнюю версию операционной системы. Недостаток безопасности позволяет любому, кто имеет физический доступ к Mac, создать корневую учетную запись без пароля, пройдя через настройки системы.

Уважаемый @AppleSupport, мы заметили * ОГРОМНУЮ проблему безопасности в MacOS High Sierra. Любой может войти в систему как «root» с пустым паролем после нажатия на кнопку входа в систему несколько раз. Вы знаете об этом @Apple?

– Леми Орхан Эргин (@lemiorhan) 28 ноября 2017 г.

Apple, как сообщается, тестирует macOS на iPhone; Позволит пользователям подключать телефон к монитору, чтобы обеспечить полный рабочий стол

Все, что нужно злоумышленнику, имеющему доступ к компьютеру, – это выполнить следующие простые шаги, которые занимают всего несколько секунд:

  1. Откройте Системные настройки> Пользователи и группы.
  2. Нажмите на значок замка в левом нижнем углу окна.
  3. Введите «root» в поле имени пользователя.
  4. Поместите курсор в поле пароля, но оставьте его пустым.
  5. Нажмите на кнопку разблокировки несколько раз, пока пользователь не будет создан.

Wccftech подтвердил эту уязвимость в macOS High Sierra 10.13.1. Обычно требуется всего две попытки создать пользователя root без пароля и с полными системными привилегиями. Похоже, что этот недостаток также можно использовать удаленно, так как некоторые исследователи говорят, что после включения учетной записи root ее можно использовать для входа в систему на уязвимом Mac без физического доступа к нему. Если общий доступ к экрану включен, это также подвергает пользователя риску удаленной эксплуатации.

Если на цели включены определенные службы общего доступа – эта атака, похоже, работает? Remote ?? attempt (попытка входа включает/создает учетную запись root с пустым pw) О, Apple ???? pic.twitter.com/lbhzWZLk4v

– Патрик Уордл (@patrickwardle) 28 ноября 2017 г.

В то время как Apple ответила на первоначальный твит рутиной «отправьте нам твит DM», также неясно, пытался ли исследователь сообщить об этом производителю iPhone, прежде чем раскрывать эту уязвимость. На данный момент эксперты по безопасности посоветовали пользователям macOS создать учетную запись пользователя с именем «root» и паролем, чтобы никто не воспользовался этой ошибкой.

Apple, возможно, признала эту «ошибку» macOS

В том, что кажется ответом на эти отчеты, Apple поделилась шагами, чтобы отключить или включить корневую учетную запись и изменить пароль этой учетной записи. Страница поддержки была опубликована сегодня и предполагает, что корневая учетная запись является суперпользователем, который используется для выполнения задач, требующих доступа к «большему количеству областей системы».

Mac с Apple Silicon получат новые функции восстановления macOS

Ниже описано, как изменить пароль учетной записи root, поскольку, похоже, она уже поставляется с каждым Mac без пароля.

  1. Выберите меню «Apple» (>)> «Системные настройки», «Пользователи и группы».
  2. Нажмите на значок замка и введите имя администратора и пароль.
  3. Нажмите Параметры входа в систему> Присоединиться (или Изменить).
  4. Нажмите Open Directory Utility.
  5. Нажмите значок блокировки в окне «Утилита каталогов» и введите имя и пароль администратора.
  6. В строке меню утилиты каталогов вы можете включить пользователя root, отключить пользователя root и сменить пароль root.

Лучший способ избежать любых проблем безопасности, которые могут возникнуть из-за этого недостатка, – это перейти к описанным выше параметрам, изменить пароль root и затем оставить учетную запись включенной. Некоторые пользователи сообщают, что отключение учетной записи root также сбрасывает ее пароль.

В то время как Apple редко комментирует вопросы безопасности, мы будем обновлять это место, если компания прокомментирует это или выпустит обходной путь для этой системной ошибки с любыми будущими обновлениями.

[Обновление]: Apple заявила, что «работает над обновлением программного обеспечения для решения этой проблемы» и направила пользователей macOS к приведенным выше инструкциям по установке пароля root для предотвращения «несанкционированного доступа к вашему Mac».

Оцените статью
generd.ru
Добавить комментарий