В macOS High Sierra серьёзная дыра в безопасности. Вот как её «залатать»
Турецкий разработчик сообщил в своём твитере о серьёзной (и удивительно тупой) уязвимости в самой «свежей» версии настольной ОС Apple macOS High Sierra 10.13.1: любой злоумышленник может получить права суперпользователя на вашей машине в несколько кликов.
На практике это означает, что достаточно, например, оставить на минуту компьютер без присмотра и не заблокировать его — кто угодно получит права root, и сможет добавить, например, нового администратора в систему и открыть удалёнынй доступ для дальнейших манипуляций.
Для тех, кто не в курсе: 'root' — это самый крутой пользователь в Linux и macOS. Это значит, что такой пользователь может буквально всё (даже больше, чем обычный пользователь системы с правами администратора).
Дело в том, что пользователь 'root' в macOS обычно по умолчанию деактивирован. Но также по умолчанию, у этого пользователя пустой пароль. По какой-то причине, незапароленный 'root' активен и доступен в обычном режиме работы. Вероятно, «причину» сегодня тихонько уволят из Apple («так, отдавай макбук, айфон — не видать тебе больше кампуса Apple, как Джони Айву чего-нибудь, кроме белой комнаты!»)
Проблема серьёзная, но решается довольно легко и быстро.
- Откройте приложение «Терминал» (Terminal.app)
- Введите в командной строке
sudo passwd -u root
- Введите свой пароль (с которым вы логинитесь в систему)
- Введите новый пароль для суперпользователя
- Повторите ввод пароля (система перестраховывается, вдруг вы ошиблись)
Важно: запомните этот пароль! Никому его не сообщайте и не передавайте.
После этих манипуляций, пользователь 'root' всё так же будет активен, но с паролем. В ближайшее время стоит ждать «заплатку» от Apple на эту «дыру», так что не забывайте проверять обновления macOS.
Обновлено: наши читатель сообщает в твитере, что в macOS 10.13 такой проблемы нет. Если вы ещё не обновились до 10.13.1, подождите следующую «заплатку».
Обновлено 29.11.2017 в 20:45: Apple опубликовали обновление безопасности 2017-001 с настоятельной рекомендацией установить его немедленно. Проверьте обновления в Mac App Store.
Для тех, кто хочет знать больше:
Записки маковода: Безопасность данных в macOS
Apple дала исходники iOS и MacOS
MacOS High Sierra вышла в релиз