Krzysiek Borek29.11.2017
Błąd w macOS High Sierra pozwala na dostęp do roota bez wpisywania hasła

Nadal rozglądam się za swoim pierwszym MacBookiem, ale chyba porzucę pomysł zakupu. Wszystko przez poważny błąd w macOS High Sierra pozwalający na dostęp do roota bez konieczności podawania hasła.

Błąd zauważył Lemi Ergin (programista) i okazuje się, że wystarczy wpisać login root, a miejsce na hasło pozostawić puste w logowaniu administratora. Dzięki temu zyskujemy dostęp do konta administratora na odblokowanym komputerze, ale to nie wszystko. Podobnie jest z ekranem blokady systemu operacyjnego.

Jak to sprawdzić:

  1. Przechodzimy do ustawień systemowych.
  2. Wybieramy Użytkownicy i grupy.
  3. Klikamy na kłódkę, aby wdrożyć zmiany.
  4. W linijce z nazwą użytkownika wpisujemy root.
  5. Kursor myszki kierujemy na miejsce z hasłem, ale nic nie wpisujemy.
  6. Klikamy na odblokuj, wtedy powinniśmy mieć całkowity dostęp do konta administratora.

W przypadku ekranu logowania można zrobić to samo, klikamy na inne i znowu wpisujemy root, jako nazwę użytkownika, a pole z hasłem zostawiamy puste. Dzięki temu mamy wgląd w pliki, które znajdują się na komputerze nawet z poziomu ekranu blokady.

Apple nawet zabrało głos w tej sprawie.

We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‚Change the root password’ section.

Błąd występuje na macOS High Sierra 10.13.1 i prawdopodobnie nie występuje w wersji testowej 10.13.2. Niestety, ale obecnie trzeba to sprawdzić, więc ciężko powiedzieć czy błąd nadal występuje. Ponadto nie wiadomo dlaczego Apple przeoczyło ten błąd, ale jedno jest pewne w nadchodzących dniach zostanie załatany.

Źródło: macrumors.com
Polub nas na Facebooku, obserwuj na Twitterze, dodaj do Google+ lub RSS

The Sins never die
@krzysiek_borek