„ | Не залочить рут. Это позор. | “ |
Разработчик Леми Орхан Эргин (Lemi Orhan Ergin) обнаружил уязвимость в операционной системе macOS High Sierra. С ее помощью можно получить права суперпользователя без необходимости вводить пароль, написал он в Twitter.
«Дорогая поддержка Apple, мы обнаружили гигантскую проблему безопасности в macOS High Sierra. Любой человек может войти в систему с правами суперпользователя без ввода пароля, просто нажав несколько раз кнопку входа. Apple, вы знаете об этом?» — написал Эргин.
Для того чтобы использовать уязвимость, не требуется специального софта, необходимо просто сменить пользователя на компьютере и в новом окне авторизации ввести root в качестве логина.
Строка пароля должна оставаться пустой. В результате можно получить права суперпользователя, что позволит управлять всеми функциями администрирования, просматривать и редактировать файлы на компьютере, а также изменять пароли устройства и привязанного к нему Apple ID.
В Apple признали наличие проблемы и уже выпустили обновление системы для ее решения, сообщает The Verge. Компания рекомендует пользователям установить его как можно скорее.
Комментирование разрешено только первые 24 часа.
4 +0−0 | Григорий Кривицкий | 21:33:34 29/11/2017 |
Не залочить рут. Это позор. |
2 +0−0 | nawTeT Zadynaisky | 21:34:46 29/11/2017 | ||||||
| ||||||||
Как такое вообще возможно? |
2 +0−0 | 2001 OKAY LETSROLL | 21:06:46 29/11/2017 |
а как сменить пользователя при входе ???? |
1 +0−0 | context6 | 21:58:54 29/11/2017 | ||||||
| ||||||||
Тут дело не в самом root'е, а в том, что разрешена регистрация юзера с таким именем. Фактически это сводится к установке нового пароля root'а. При пустом пароле (что тоже криминал) система разрешает делать с собой все что угодно без подтверждения полномочий. |
1 +0−0 | Anatoliy Anatoliy | 21:42:51 29/11/2017 | ||||||
| ||||||||
Медведев сиеру установил на телефон? Вот челевеку занятся нечем...:) |
1 +0−0 | Григорий Кривицкий | 21:41:48 29/11/2017 | ||||||
| ||||||||
Не та ОС. |
1 +0−0 | Артём Шакиров | 21:41:02 29/11/2017 | ||||||
| ||||||||
Зато с яблоком. |
1 +0−0 | Григорий Кривицкий | 21:34:28 29/11/2017 | ||||||
| ||||||||
Большинство пользователей вряд ли даже подозревают о его существовании. |
1 +0−0 | Сергей Степанов | 21:26:53 29/11/2017 | ||||||
| ||||||||
Сиерра это ПО для МАК, а не для телефона. |
0 +0−0 | Владимир Пешехонский | 01:13:14 30/11/2017 |
просто какая- то дичь, разве можно сделать, даже случайно, такой баг.. толи школьникиделают макос, толи здесь полное вранье.. как так пускает под рутом без пароля? я не фанат этого г. но очень подозрительно |
0 +0−0 | S Wlad | 23:00:09 29/11/2017 | ||||||
| ||||||||
macOS High Sierra 10.13 |
0 +0−0 | MB | 22:19:05 29/11/2017 | ||||||
| ||||||||
Я и говорю - не работает эта схема. |
0 +0−0 | Мел Бурн | 21:56:53 29/11/2017 | ||||||
| ||||||||
Сам не проверял - вся эта история - туфта. Но, похоже, сценарий такой: 1. Логнуться как существующий пользователь 2. Открыть Настройки-Эккаунты 3. Еще пару шагов 4. Enable root 5. В общем - нужно иметь админ привилегии и вводить пароль несколько раз. 6. Мутота |
0 +0−0 | Добрый Ээх | 21:54:38 29/11/2017 |
/etc/passwd проспали ??? |
0 +0−0 | context6 | 21:52:39 29/11/2017 | ||||||
| ||||||||
Если root нужен как владелец системных файлов, то достаточно поставить ему в поле пароля ****. И запретить регистрацию такого пользователя. |
0 +0−0 | Мел Бурн | 21:51:40 29/11/2017 |
Уже тут сказали, что для смены имени пользователя нужно иметь привилегии администратора машины. |
0 +0−0 | MB | 21:47:08 29/11/2017 |
Sierra 10.12: Не работает. Утка какая-то. В саппорте нет такого бага. Что за желтой прессой стала Лента??? |
0 +0−0 | Padma Sambhava | 21:44:56 29/11/2017 |
Back door от Тима Кука так сказать ) |
0 +0−0 | context6 | 21:44:46 29/11/2017 | ||||||
| ||||||||
Был бы пароль - не было бы уязвимости. А так - грубая ошибка системных программистов. |
0 +0−0 | Шурег Терран | 21:44:04 29/11/2017 | ||||||
| ||||||||
хм...я не сильный поклонник эпла.думал они все на иос работают.... |