В macOS High Sierra серьёзная дыра в безопасности. Вот как её «залатать»

Автор: Виталий Бондарь, 29 ноября 2017, 10:41

Турецкий разработчик сообщил в своём твитере о серьёзной (и удивительно тупой) уязвимости в самой «свежей» версии настольной ОС Apple macOS High Sierra 10.13.1: любой злоумышленник может получить права суперпользователя на вашей машине в несколько кликов.

Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28 ноября 2017 г.

На практике это означает, что достаточно, например, оставить на минуту компьютер без присмотра и не заблокировать его — кто угодно получит права root, и сможет добавить, например, нового администратора в систему и открыть удалёнынй доступ для дальнейших манипуляций.

Для тех, кто не в курсе: 'root' — это самый крутой пользователь в Linux и macOS. Это значит, что такой пользователь может буквально всё (даже больше, чем обычный пользователь системы с правами администратора).

Дело в том, что пользователь 'root' в macOS обычно по умолчанию деактивирован. Но также по умолчанию, у этого пользователя пустой пароль. По какой-то причине, незапароленный 'root' активен и доступен в обычном режиме работы. Вероятно, «причину» сегодня тихонько уволят из Apple («так, отдавай макбук, айфон — не видать тебе больше кампуса Apple, как Джони Айву чего-нибудь, кроме белой комнаты!»)

Проблема серьёзная, но решается довольно легко и быстро.

Откройте приложение «Терминал» (Terminal.app)
Введите в командной строке sudo passwd -u root
Введите свой пароль (с которым вы логинитесь в систему)
Введите новый пароль для суперпользователя
Повторите ввод пароля (система перестраховывается, вдруг вы ошиблись)

Важно: запомните этот пароль! Никому его не сообщайте и не передавайте.

После этих манипуляций, пользователь 'root' всё так же будет активен, но с паролем. В ближайшее время стоит ждать «заплатку» от Apple на эту «дыру», так что не забывайте проверять обновления macOS.

Обновлено: наши читатель сообщает в твитере, что в macOS 10.13 такой проблемы нет. Если вы ещё не обновились до 10.13.1, подождите следующую «заплатку».

Обновлено 29.11.2017 в 20:45: Apple опубликовали обновление безопасности 2017-001 с настоятельной рекомендацией установить его немедленно. Проверьте обновления в Mac App Store.