28 ноября пользователем была обнаружена корневая уязвимость, доступ к учетной записи root которой можно получить, введя пустой пароль. Это касается всех пользователей.
Tech Crunch в виде анимированного GIF-файла, показывающего, как это работает, если вы используете диалоговое окно аутентификации:
Этот недостаток также присутствует на экране блокировки, любых гостевых или неадминистративных учетных записях. Кроме того, если есть «другой» вариант или вы входите в систему, через vnc / общий доступ к файлам / общий доступ к экрану ваш пользователь root может быть включен без пароля для защиты доступа.
Как я могу защитить себя?
Редактировать 29 ноября 2017 года:
Сегодня Apple выпустила обновление безопасности, которое устраняет проблему. Важно установить это обновление через App Store > Обновления. При обновлении номер сборки macOS будет 17B1002. Вот дополнительная информация об обновлении: Обновление безопасности 2017-001
Если вы хотите снова использовать учетную запись root, вам нужно будет повторно включить пользователя root и изменить пароль пользователя root. (Смотри ниже)
Обязательно включите пользователя root и установите надежный (и, возможно, случайный) пароль для пользователя root. Это отключает обход безопасности. Теперь вы в такой же безопасности, как и пароль root, который невозможно угадать.
Статья службы поддержки Apple ( https://support.apple.com/en-us/HT204012 )
«Мы работаем над обновлением программного обеспечения для решения этой проблемы. Между тем, установка пароля root предотвращает несанкционированный доступ к вашему Mac. Чтобы включить пользователя root и установить пароль, следуйте инструкциям здесь. Если корневой пользователь уже включен, чтобы убедиться, что пустой пароль не установлен, следуйте инструкциям в разделе «Изменение корневого пароля».
Заявление Apple ( 9to5mac )
Если вы разрешаете удаленный вход в систему (ssh), вы также можете отключить оболочку входа в систему для пользователя root, если вы хотите предотвратить любую возможность входа этого пароля или пользователя в оболочку.
/usr/bin/dscl . -create /Users/root UserShell /usr/bin/false
Вот руководство для администраторов, если они хотят обезопасить парк Mac от этого. Вторая ссылка — это удобный скрипт, который достаточно хорошо выполняет оба действия с проверкой ошибок.
Запустите обновление программного обеспечения из App Store. Сегодня утром Apple выпустила обновление безопасности.
Apple только что выпустила обновление, чтобы исправить эту проблему.
Обновление безопасности 2017-001 https://support.apple.com/en-us/HT208315
Кроме того, чтобы предотвратить несанкционированный доступ к вашим компьютерам Mac, вы должны включить учетную запись пользователя root и установить пароль специально для пользователя root.
https://support.apple.com/en-ph/HT204012
Если ваша учетная запись пользователя root уже активна, убедитесь, что вы изменили пароль только для того, чтобы убедиться, что уязвимость пустого пароля не установлена.
Обновление:
28 ноября Apple выпустила обновление безопасности для всех компьютеров Mac с macOS High Sierra, доступное в App Store. Чтобы установить его, выполните следующие действия:
Если по какой-либо причине вы не можете получить доступ к App Store, вы можете загрузить обновление безопасности для веб-сайта Apple здесь .
Вы можете узнать больше об обновлении безопасности 2017-001 здесь
Чтобы проверить, установлено ли на вашем Mac исправление, перейдите к — Об этом Mac. Щелкните номер версии. Если в скобках указано число 17B1002 или выше, ваш компьютер защищен от этой уязвимости.
Если вам нужен пользователь root на вашем компьютере, вам нужно будет повторно включить его .
Все, что вам нужно сделать, чтобы защитить себя от этой уязвимости на данный момент, это изменить пароль учетной записи root.
sudo passwd -u root
bmike