Σοβαρό κενό ασφαλείας εντοπίστηκε στο MacOS High Sierra

[nnn]

Η Apple σπεύδει να κλείσει ένα σοβαρό κενό ασφαλείας στο MacOS High Sierra, που επιτρέπει την πρόσβαση στο σύστημα χωρίς την χρήση του password και παράλληλα δίνει δικαιώματα administrator.

Το σφάλμα εντοπίστηκε από τον Lemi Ergin, ο οποίος εντόπισε πως βάζοντας σαν username το "root" και αφήνοντας κενό το password, το πάτημα του πλήκτρου enter, αρκετές φορές, δίνει απεριόριστη πρόσβαση στον υπολογιστή.

Όπως φαίνεται το exploit ήταν γνωστό εδώ και 2 εβδομάδες τουλάχιστον,αφού είχε προταθεί σαν λύση σε support forum της Apple.

Solution 1:

On startup, click on "Other"

Enter username: root and leave the password empty. Press enter. (Try twice)

If you're able to log in (hurray, you're the admin now), then head over to System Preferences>Users & Groups and create a new Admin account.

Now restart and login to the new Admin Account (you may need a new Apple Id). Once you're logged into this new Admin Id, you can again proceed to your System Preferences>Users & Groups. Open the Lock Icon with your new Admin ID/Password. Assign "Allow user to administer this computer" to your original Apple ID. Restart.

https://forums.developer.apple.com/thread/79235#

Μέχρι να ετοιμάσει το patch, η Apple έδωσε ένα προσωρινό workaround.

“Setting a root password prevents unauthorized access to your Mac,” the company explained.

"To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012.

"If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.”

Πηγή : BBC Online

[zaranero]

Αυτο και αν ειναι BUG lol

[nnn]

Αυτο και αν ειναι BUG lol

It's a feature

[Zus]

Χάκερ μόνο με το enter. Κλάμα.

[zaranero]

Χάκερ μόνο με το enter. Κλάμα.

That's been one of my mantras - focus and simplicity. Simple can be harder than complex: You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains. Steve Jobs

[gcf]

To πιο αστείο της υπόθεσης είναι ότι

είχε προταθεί σαν λύση σε support forum της Apple

- Γεια σας. soooosss. δεν μπορώ να μπω στο λογαριασμό μου στο μακ μου
- Μην ανησυχείτε κύριε, γράψτε root και πατήστε enter μέχρι να μπείτε

[zaranero]

To πιο αστείο της υπόθεσης είναι ότι


- Γεια σας. soooosss. δεν μπορώ να μπω στο λογαριασμό μου στο μακ μου
- Μην ανησυχείτε κύριε, γράψτε root και πατήστε enter μέχρι να μπείτε

Ναι μαλλον θα το προτεινε καποιος χρηστης .... που να ηξερε τι ειχε στα χερια του , τετοια bug τα κυνηγανε με το ντουφεκι αλλοι και πολλες φορες πληρωνονται αδρα ειτε παρανομα , ειτε νομιμα.

[sdikr]

To πιο αστείο της υπόθεσης είναι ότι


- Γεια σας. soooosss. δεν μπορώ να μπω στο λογαριασμό μου στο μακ μου
- Μην ανησυχείτε κύριε, γράψτε root και πατήστε enter μέχρι να μπείτε

Αν μπορεί κάποιος να αποκτήσει πρόσβαση απομακρυσμένα είναι θέμα, γιατί αν κάποιος είναι τοπικά μπορεί να μπει με το recovery του mac και να κάνει reset όλους τους κωδικούς αφού είναι τοπικά.

[Parrot]

Να πληρώνουν τα Apple Fanboys ένα σκασμό λεφτά για τα μηλαράκια και να ακούς τέτοια bugs και προβλήματα ...
Αξία Ανεκτίμητη

[zaranero]

For those not confident enough to change system settings like this, security experts advise simply - don't let your Mac out of your sight,

Απο το αρχικο αρθρο λολ .... το παρακανω αλλα μου φαινεται απιστευτο.

Ξερω παιχνιδια που για να βαλεις GOD MODE ειναι πιο περιπλοκο λολ

[deniSun]

Απ ότι είδα το κενό είναι προσβάσιμο μόνο τοπικά και όχι απομακρυσμένα.
Εκτός φυσικά και αν έχει καταφέρει και αποκτήσει κάποιος και απομακρυσμένη πρόσβαση για να μπορεί μετά να το εκμεταλλευτεί.

[Φιλόσοφος_Στ@ρχίδας]

Αν μπορεί κάποιος να αποκτήσει πρόσβαση απομακρυσμένα είναι θέμα, γιατί αν κάποιος είναι τοπικά μπορεί να μπει με το recovery του mac και να κάνει reset όλους τους κωδικούς αφού είναι τοπικά.

Δεν νομίζω πως γίνεται αυτό...

That's been one of my mantras - focus and simplicity. Simple can be harder than complex: You have to work hard to get your thinking clean to make it simple. But it's worth it in the end because once you get there, you can move mountains. Steve Jobs

Όπως και να'χει, τέτοιες ευπάθειες είναι απαράδεκτες είτε γίνονται απομακρυσμένα είτε γίνονται τοπικά.

[sdikr]

Δεν νομίζω πως γίνεται αυτό...




Όπως και να'χει, τέτοιες ευπάθειες είναι απαράδεκτες είτε γίνονται απομακρυσμένα είτε γίνονται τοπικά.

Φυσικά και γίνεται, παραπάνω εδώ .
Με παρόμοιο τρόπο γίνεται σε Linux, σε windows, απο την στιγμή που κάποιος έχει πρόσβαση τοπικά τα πράγματα αλλάζουν.

[Φιλόσοφος_Στ@ρχίδας]

Εδώ αλλιώς τα λέει πάντως.
Σε Windows γινόταν παλιά από όσο ξέρω, τώρα πλέον niet.

[sdikr]

Εδώ αλλιώς τα λέει πάντως.
Σε Windows γινόταν παλιά από όσο ξέρω, τώρα πλέον niet.

Δοκιμασμένο και για το osx και για windows με Local account τον περασμένο μήνα, σε περίπτωση που δεν πιάσουνε τα διάφορα offline password changers, υπάρχει πάντα το γνωστό με το cmd.