Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Dziura rodem z lat 90. w macOS High Sierra

Rekomendowane odpowiedzi

W systemie macOS High Sierra (10.13), który zadebiutował we wrześniu bieżącego roku, znaleziono banalny błąd, pozwalający każdemu, kto ma fizyczny dostęp do komputera na uzyskanie uprawnień administratora. Gdy użytkownik chce przeprowadzić czynności, do których wymagane są uprawnienia administracyjne, system wyświetla okno dialogowe z prośbą o zalogowanie się. Wówczas w polu „Nazwa użytkownika” wystarczy wpisać „root”, a pole „Hasło” pozostawić puste. Następnie kilkukrotnie naciskamy Enter i lub klikamy na ikonkę odblokowującą konto. Wówczas okienko dialogowe znika i możemy pracować z przywilejami administracyjnymi.

Problem jest o tyle poważny, że do systemu zawierającego taką dziurę mogą z łatwością zalogować się dzieci, które mogą dzięki temu zmienić ustawienia kontroli rodzicielskiej czy ktoś obcy, kto na pozostawionym na chwilę w pracy komputerze zainstaluje oprogramowanie szpiegujące. Oczywiście przed atakiem w zdecydowanej większości wypadków chroni sam fakt, że dziury nie można wykorzystać zdalnie – o ile sami nie ustawiliśmy możliwości korzystania ze zdalnego pulpitu – jednak sam błąd nie przynosi chwały programistom Apple'a. Tego typu dziury były typowe raczej w latach 90. ubiegłego wieku, a dwie dekady to w świecie IT cała epoka. Błąd można jednak wykorzystać również z poziomu linii poleceń, a to znaczy, że atak może zostać przeprowadzony niezauważenie za pomocą szkodliwego kodu.

Wygląda na to, że Apple wie o dziurze od co najmniej dwóch tygodni i dotychczas nic z tym nie zrobiono.

Na szczęście użytkownicy systemu High Sierra mogą się zabezpieczyć. Wystarczy, że dla użytkownika „root” utworzą hasło. Wówczas atak nie będzie skuteczny.


« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Aj tam dziura, to feature dla serwisantów (i służb). ;-)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

×