28 ноября пользователь обнаружил корневую уязвимость, к которой можно получить доступ к корневой учетной записи, введя пустой пароль. Это влияет на всех пользователей.

Tech Crunch как анимированный GIF-файл, показывающий, как это работает, если вы используете диалог аутентификации:

Этот недостаток также присутствует на экране блокировки, а также на любых гостевых учетных записях или учетных записях без прав администратора. Кроме того, если есть опция «прочее» или вы вошли в систему, через vnc / общий доступ к файлам / общий доступ к экрану ваш корневой пользователь может быть включен без пароля для защиты доступа.

Как я могу защитить себя?

Изменить 29 ноября 2017 г .:

Сегодня Apple выпустила обновление для системы безопасности, которое устраняет проблему. Важно установить это обновление с помощью App Store & gt; Обновления. После обновления номер сборки macOS будет 17B1002. Вот больше информации об обновлении: Обновление безопасности 2017-001

Если вы захотите снова использовать учетную запись root, вам потребуется повторно включить пользователя root и изменить пароль пользователя root. (Увидеть ниже)

Обязательно включите пользователя root и установите надежный (и, возможно, случайный) пароль для пользователя root. Это отключает обход безопасности. Теперь вы в безопасности, так как пароль root не угадан.

Включение пользователя root и изменение пароля root

1. Выберите меню Apple () & gt; Системные настройки, затем нажмите «Пользователи» Группы (или Аккаунты).
2. Нажмите значок замка, затем введите администратора имя и пароль.
3. Нажмите Параметры входа.
4. Нажмите Присоединиться (или Изменить).
5. Нажмите «Открыть каталог».
6. Нажмите значок блокировки в утилите каталогов затем введите имя администратора и пароль.
7. В строке меню в утилите каталогов: выберите «Редактировать & gt; Включите Root User, затем введите пароль, который вы хотите использовать для пользователя root.

Статья поддержки Apple ( https://support.apple.com/en-us/HT204012 )

Заявление Apple

«Мы работаем над обновлением программного обеспечения для решения этой проблемы. в   Между тем, установка пароля root предотвращает несанкционированный доступ к вашему   Макинтош Чтобы включить Root User и установить пароль, пожалуйста, следуйте   инструкции здесь. Если Root-пользователь уже включен, чтобы обеспечить   пустой пароль не установлен, следуйте инструкциям   «Изменить пароль root». »

Заявление Apple ( 9to5mac )

Если вы разрешите удаленный вход в систему (ssh), вы также можете отключить вход в систему для пользователя root, если вы хотите предотвратить любую вероятность того, что этот пароль или пользователь войдут в оболочку.

/usr/bin/dscl . -create /Users/root UserShell /usr/bin/false

Вот руководство для администраторов, если они хотят защитить парк Mac от этого. Вторая ссылка - удобный скрипт, который хорошо выполняет оба действия с проверкой ошибок.

• https://derflounder.wordpress.com/2017/11/28/blocking-logins-to-the-root-account-on-macos-high-sierra/
• https://github.com/rtrouton/rtrouton_scripts/blob/master/rtrouton_scripts/block_root_account_login/block_root_account_login.sh

Запустите обновление программного обеспечения из App Store. Apple выпустила обновление безопасности сегодня утром.

• О безопасности содержимого обновления безопасности 2017-001

• Обновления безопасности Apple

Apple только что выпустила обновление, чтобы исправить проблему.

Обновление безопасности 2017-001 https://support.apple.com/en-us/HT208315

Также, чтобы предотвратить несанкционированный доступ к вашим компьютерам Mac, вы должны включить учетную запись пользователя root и установить пароль специально для пользователя root.

https://support.apple.com/en-ph/HT204012

Если ваша учетная запись root уже активна, убедитесь, что вы изменили пароль, чтобы убедиться, что уязвимость пустого пароля не установлена.

Обновить:
28 ноября Apple выпустила обновление безопасности для всех компьютеров Mac, работающих под управлением MacOS High Sierra, которое доступно в App Store. Чтобы установить его, выполните следующие действия:

1. Открой Магазин приложений ,
2. Перейдите к Обновления в верхней панели
3. В самом верху страницы вы увидите обновление, которое выглядит примерно так:

Если по какой-либо причине вы не можете получить доступ к App Store, вы можете загрузить обновление безопасности для веб-сайта Apple. Вот ,

4. Нажмите Обновить - для этого обновления перезагрузка не требуется, поэтому рекомендуется установить его немедленно.

Вы можете узнать больше об обновлении безопасности 2017-001 Вот

Чтобы проверить, установлено ли на вашем Mac исправление, перейдите к About - Об этом Mac. Нажмите на номер версии. Если в скобках указано число 17B1002 или выше, ваш компьютер защищен от этой уязвимости.

Если вам нужен пользователь root на вашем компьютере, вам нужно будет включите его ,

Все, что вам нужно сделать, чтобы защитить себя от этой уязвимости в данный момент, это изменить пароль учетной записи root.

Смена пароля root

1. открыто Терминал с учетной записью администратора
2. Введите в терминал следующее: sudo passwd -u root
3. Создать новый, безопасный пароль. Рекомендуется использовать цифры, заглавные и строчные буквы, а также символы.
4. Это оно!