На устройствах Apple найдена опасная уязвимость

20:57 29/11/2017 Наука и техника
На устройствах Apple найдена опасная уязвимость
Разработчик Леми Орхан Эргин обнаружил уязвимость в операционной системе macOS High Sierra. С ее помощью можно получить права суперпользователя без необходимости вводить пароль. Для того чтобы использовать уязвимость, не требуется специального софта. Необходимо просто сменить пользователя на root.
Григорий Кривицкий:
Не залочить рут. Это позор.
Читать все комментарии(33)

Разработчик Леми Орхан Эргин (Lemi Orhan Ergin‏) обнаружил уязвимость в операционной системе macOS High Sierra. С ее помощью можно получить права суперпользователя без необходимости вводить пароль, написал он в Twitter.

«Дорогая поддержка Apple, мы обнаружили гигантскую проблему безопасности в macOS High Sierra. Любой человек может войти в систему с правами суперпользователя без ввода пароля, просто нажав несколько раз кнопку входа. Apple, вы знаете об этом?» — написал Эргин.

Для того чтобы использовать уязвимость, не требуется специального софта, необходимо просто сменить пользователя на компьютере и в новом окне авторизации ввести root в качестве логина.

Строка пароля должна оставаться пустой. В результате можно получить права суперпользователя, что позволит управлять всеми функциями администрирования, просматривать и редактировать файлы на компьютере, а также изменять пароли устройства и привязанного к нему Apple ID.

В Apple признали наличие проблемы и уже выпустили обновление системы для ее решения, сообщает The Verge. Компания рекомендует пользователям установить его как можно скорее.

Источник: https://lenta.ru/news/2017/11/29/root/

Комментирование разрешено только первые 24 часа.

Комментарии(33):

1 2+1
4 +0−0Григорий Кривицкий21:33:34
29/11/2017
Не залочить рут. Это позор.
2 +0−0nawTeT Zadynaisky21:34:46
29/11/2017
4 +0−0Григорий Кривицкий21:33:34
29/11/2017
Не залочить рут. Это позор.
Как такое вообще возможно?
2 +0−02001 OKAY LETSROLL21:06:46
29/11/2017
а как сменить пользователя при входе ????
1 +0−0context621:58:54
29/11/2017
2 +0−0nawTeT Zadynaisky21:34:46
29/11/2017
Как такое вообще возможно?
Тут дело не в самом root'е, а в том, что разрешена регистрация юзера с таким именем. Фактически это сводится к установке нового пароля root'а. При пустом пароле (что тоже криминал) система разрешает делать с собой все что угодно без подтверждения полномочий.
1 +0−0Anatoliy Anatoliy21:42:51
29/11/2017
-1 +0−0Шурег Терран21:38:18
29/11/2017
надо похитить телефон димона,взломать его и узнать,сколько он уже собрал покемонов)
Медведев сиеру установил на телефон? Вот челевеку занятся нечем...:)
1 +0−0Григорий Кривицкий21:41:48
29/11/2017
-1 +0−0Шурег Терран21:38:18
29/11/2017
надо похитить телефон димона,взломать его и узнать,сколько он уже собрал покемонов)
Не та ОС.
1 +0−0Артём Шакиров21:41:02
29/11/2017
4 +0−0Григорий Кривицкий21:33:34
29/11/2017
Не залочить рут. Это позор.
Зато с яблоком.
1 +0−0Григорий Кривицкий21:34:28
29/11/2017
0 +0−0WHIPPET21:22:53
29/11/2017
Чё то просто слишком.
а если root будет с паролем?
Большинство пользователей вряд ли даже подозревают о его существовании.
1 +0−0Сергей Степанов21:26:53
29/11/2017
-2 +0−0Александр Б21:23:47
29/11/2017
Какая уязвимость??????
Какая????!!!! Это же телефон! Эта уязвимость найдена не у телефона, а в мозге у людей.
Уязвимость :))
Сиерра это ПО для МАК, а не для телефона.
0 +0−0Владимир Пешехонский01:13:14
30/11/2017
просто какая- то дичь, разве можно сделать, даже случайно, такой баг.. толи школьникиделают макос, толи здесь полное вранье.. как так пускает под рутом без пароля? я не фанат этого г. но очень подозрительно
0 +0−0S Wlad23:00:09
29/11/2017
0 +0−0MB21:47:08
29/11/2017
Sierra 10.12: Не работает. Утка какая-то.
В саппорте нет такого бага.

Что за желтой прессой стала Лента???
macOS High Sierra 10.13
0 +0−0MB22:19:05
29/11/2017
0 +0−0Мел Бурн21:56:53
29/11/2017
Сам не проверял - вся эта история - туфта. Но, похоже, сценарий такой:
1. Логнуться как существующий пользователь
2. Открыть Настройки-Эккаунты
3. Еще пару шагов
4. Enable root
5. В общем - нужно иметь админ привилегии и вводить пароль несколько раз.
6. Мутота
Я и говорю - не работает эта схема.
0 +0−0Мел Бурн21:56:53
29/11/2017
0 +0−0MB21:47:08
29/11/2017
Sierra 10.12: Не работает. Утка какая-то.
В саппорте нет такого бага.

Что за желтой прессой стала Лента???
Сам не проверял - вся эта история - туфта. Но, похоже, сценарий такой:
1. Логнуться как существующий пользователь
2. Открыть Настройки-Эккаунты
3. Еще пару шагов
4. Enable root
5. В общем - нужно иметь админ привилегии и вводить пароль несколько раз.
6. Мутота
0 +0−0Добрый Ээх21:54:38
29/11/2017
/etc/passwd проспали ???
0 +0−0context621:52:39
29/11/2017
0 +0−0Григорий Кривицкий21:37:30
29/11/2017
Ось - оболочка + никсовое ядро. На уровне оболочки можно залочить рут.
Если root нужен как владелец системных файлов, то достаточно поставить ему в поле пароля ****. И запретить регистрацию такого пользователя.
0 +0−0Мел Бурн21:51:40
29/11/2017
Уже тут сказали, что для смены имени пользователя нужно иметь привилегии администратора машины.
0 +0−0MB21:47:08
29/11/2017
Sierra 10.12: Не работает. Утка какая-то.
В саппорте нет такого бага.

Что за желтой прессой стала Лента???
0 +0−0Padma Sambhava21:44:56
29/11/2017
Back door от Тима Кука так сказать )
0 +0−0context621:44:46
29/11/2017
0 +0−0chtote21:40:38
29/11/2017
И кто мешает установить ему пароль?
Был бы пароль - не было бы уязвимости. А так - грубая ошибка системных программистов.
0 +0−0Шурег Терран21:44:04
29/11/2017
1 +0−0Anatoliy Anatoliy21:42:51
29/11/2017
Медведев сиеру установил на телефон? Вот челевеку занятся нечем...:)
хм...я не сильный поклонник эпла.думал они все на иос работают....
1 2+1
Самые
^^^Наверх^^^Обратная связь