Το κενό ασφαλείας ανακαλύφθηκε από τον προγραμματιστή Lemi Orhan Ergin και σ'αυτό είναι ευάλωτοι οι χρήστες που δεν έχουν απενεργοποιήσει την πρόσβαση επισκεπτών (guest access) ή έχουν προχωρήσει σε αλλαγή του λογαριασμού root όπως κάνει η συντριπτική πλειοψηφία.
Πιο αναλυτικά, όπως μπορούμε να δούμε και στο παρακάτω βίντεο, ακόμα και στην τελευταία έκδοση του macOS με την ονομασία High Sierra, αρκεί ο χρήστης να εισάγει στο πεδίο username, τη λέξη root, αφήνοντας κενό το πεδίο του κωδικού, και στη συνέχεια να πατήσει επανειλλημένα το πλήκτρο login κάτι που θα του δώσει πλήρη πρόσβαση στο σύστημα. Ο μόνος τρόπος να λειτουργήσει η όλη ευπάθεια στηρίζεται στο γεγονός ότι ο χρήστης έχει ήδη τοπική και όχι απομακρυσμένη πρόσβαση στο σύστημα, και δημιουργεί άμεσα έναν root λογαριασμό.
Χρησιμοποιώντας το ίδιο κόλπο, ένας κακόβουλος χρήστης μπορεί να προσθέσει νέους λογαριασμούς με πλήρη δικαιώματα (admin), να αφαιρέσει κάποιους άλλους, να ακυρώσει τους κωδικούς τους, να προχωρήσει σε decrypt των δίσκων από το FileVault ή να αλλάξει οποιαδήποτε άλλη ρύθμιση του συστήματος.
Από την πλευρά της η Apple δήλωσε ότι αναγνωρίζει το σφάλμα και ότι ήδη εργάζεται πάνω στη διόρθωσή του προκειμένου να επιλυθεί οριστικά με μελλοντική αναβάθμιση. Μέχρι τότε όμως ο χρήστης πρέπει να απενεργοποιήσει την πρόσβαση σε επισκέπτες (guest acccess) και να ενεργοποιήσει την πρόσβαση στο σύστημα από το λογαριασμό root. Στη συνέχεια θα του ζητηθεί η εισαγωγή κωδικού όπου και πρέπει να εισάγει προκειμένου να μην ενεργοποιηθεί η ευπάθεια σε περίπτωση κακόβουλης χρήσης. Η απενεργοποίηση της πρόσβασης στο root λογαριασμό δεν λύνει το πρόβημα.
Site: 9to5mac
Ενημέρωση 19:00 - Άμεση αντίδραση από την Apple που έκανε διαθέσιμη πριν λίγη ώρα μια νέα ενημέρωση ασφάλειας με την ονομασία 2017-001, και η οποία λύνει το πρόβλημα που δημιουργήθηκε με το σοβαρό κενό ασφάλειας.
ΣΧΟΛΙΑ (103)
Δημιουργήστε ένα λογαριασμό ή συνδεθείτε για να σχολιάσετε
Πρέπει να είστε μέλος για να αφήσετε σχόλιο
Δημιουργία λογαριασμού
Εγγραφείτε με νέο λογαριασμό στην κοινότητα μας. Είναι πανεύκολο!
Δημιουργία νέου λογαριασμούΣύνδεση
Έχετε ήδη λογαριασμό; Συνδεθείτε εδώ.
Συνδεθείτε τώραΔημοσίευση ως Επισκέπτης
· Αποσύνδεση