MacOS High Sierra Security Bug tillåter root-inloggning utan lösenord, här är en fix

En signifikant säkerhetsproblem har upptäckts med MacOS High Sierra, vilket möjligen möjliggör för någon att logga in på en Mac med fullständiga administratorkapacitet utan ett lösenord.

Det här är ett brådskande säkerhetsproblem, och medan en programuppdatering ska komma för att lösa problemet snart kommer den här artikeln att beskriva hur du skyddar din Mac från det här säkerhetshålet.

Viktig uppdatering: Apple har släppt säkerhetsuppdatering 2017-001 för MacOS High Sierra för att åtgärda root login-felet, ladda ner det nu. Om du kör MacOS High Sierra, ladda ner uppdateringen så snart som möjligt till din Mac.

Vad är root login bug, och varför spelar det roll?

För en viss snabb bakgrund tillåter säkerhetshålet en person att ange "root" som ett användarnamn och sedan omedelbart logga in som root till Mac utan lösenord. Lösenordslös root-inloggning kan inträffa direkt med en fysisk maskin på den allmänna användarinloggningsskärmen, som ses vid start, från panelen Systeminställningar som vanligtvis kräver autentisering eller till och med över VNC och fjärrloggning om de senare två fjärråtkomstfunktionerna är aktiverade. Någon av dessa scenarier tillåter sedan fullständig åtkomst till MacOS High Sierra-maskinen utan att någonsin ha använt ett lösenord.

Ett root-användarkonto ger högsta möjliga systemåtkomst på en MacOS eller ett unixbaserat operativsystem. Root ger alla funktioner för administrativa användarkonton på maskinen förutom obegränsad åtkomst till systemnivåkomponenter eller filer.

Mac-användare som påverkas av säkerhetsfelet inkluderar alla som kör MacOS High Sierra 10.13, 10.13.1 eller 10.13.2 betas som tidigare inte aktiverat rootkontot eller ändrat ett lösenord för root-användarkonto på Mac, vilket är den övervägande delen av Mac-användare som kör High Sierra.

Låter dåligt, eller hur? Det är, men det är en ganska lätt lösning som förhindrar att säkerhetsfelet blir ett problem. Allt du behöver göra är att ställa in ett root-lösenord på den påverkade Mac.

Så här hindrar du inloggning utan lösenord i MacOS High Sierra

Det finns två sätt att förhindra root-inloggning utan lösenord på en MacOS High Sierra-maskin, du kan använda Directory Utility eller kommandoraden. Vi täcker båda. Directory Utility är kanske lättare för de flesta användare eftersom det fullbordas helt från det grafiska gränssnittet på Mac, medan kommandoradsinriktningen är textbaserad och allmänt anses mer komplex.

Använda Directory Utility för att låsa ner rot

  1. Öppna Spotlight på Mac genom att klicka på Kommandot + mellanslag (eller klicka på Spotlight-ikonen längst upp till höger på menyraden) och skriv in "Directory Utility" och tryck tillbaka för att starta appen

  2. Klicka på den lilla låsikonen i hörnet och verifiera med ett inloggning för administratörskonto

  3. Dra nu ner "Edit" -menyn och välj "Ändra röda lösenord ..." ***

  4. Ange ett lösenord för root användarkontot och bekräfta, klicka sedan på "OK"

  5. Stäng av Directory Utility

*** Om root användarkonto inte är aktiverat, välj "Aktivera root user" och ställ in ett lösenord istället.

I grund och botten allt du gör är att ge ett lösenord till root-kontot, vilket innebär att logga in med root kommer då att kräva ett lösenord som det borde. Om du inte tilldelar ett lösenord till rot på så sätt, accepterar en macOS High Sierra-maskin otroligt en root-inloggning utan ett lösenord alls.

Använda kommandoraden för att tilldela ett lösenord

Användare som föredrar att använda kommandoraden i macOS kan också ställa in eller tilldela ett root-lösenord med sudo och det vanliga gamla passwd-kommandot.

  1. Öppna Terminal-programmet, som finns i / Program / Verktyg /
  2. Skriv följande syntax exakt i terminalen och tryck sedan på returnyckeln:

    3. sudo passwd root

  3. Ange ditt administratörslösenord för att verifiera och klicka på retur
  4. I "Nytt lösenord" anger du ett lösenord som du inte kommer glömma, slå tillbaka och bekräfta det

Var noga med att ställa in root-lösenordet till något du kommer ihåg, eller kanske till och med matcha ditt administratörslösenord.

Hur vet jag om min Mac påverkas av lösenordsfri root-inloggningsfel?

Det verkar bara MacOS High Sierra-maskiner påverkas av denna säkerhetsbugg. Det enklaste sättet att kontrollera om din Mac är sårbar för root-inloggningsfelet är att försöka logga in som root, utan ett lösenord.

Du kan göra det från skärmbilden för allmän uppstartsinloggning eller via någon administrativ autentiseringspanel (klicka på låsikonen) som finns i Systeminställningar som FileVault eller Users & Groups.

Ange bara "root" som användare, skriv inte in ett lösenord och klicka "Lås upp" två gånger - om felet påverkar dig kommer du att loggas in som root eller beviljade root-privilegier. Du måste slå "låsa upp" två gånger, första gången du klickar på "låsa upp" -knappen skapas rotkontot med ett tomt lösenord och andra gången du klickar på "låsa upp" loggar den in, vilket ger fullständig root-åtkomst.

Buggen, som i grund och botten är en 0-dagars rotutnyttjande, rapporterades först till allmänheten på Twitter av @lemiorhan och har snabbt fått ång- och mediauppmärksamhet på grund av den potentiella svårighetsgraden av påverkan. Apple är uppenbarligen medveten om problemet och arbetar med en mjukvaruuppdatering för att lösa problemet.

Inverkar root login bug macOS Sierra, Mac OS X El Capitan, eller tidigare?

Det lösenordslösa inloggningsfelet för lösenord visas bara för att påverka macOS High Sierra 10.13.x och verkar inte påverka tidigare versioner av MacOS och Mac OS X systemprogramvara.

Dessutom, om du tidigare hade aktiverat root via kommandoraden eller genom Directory Utility, eller ändrat root-lösenordet någon gång, skulle felet inte fungera på en MacOS High Sierra-maskin.

Kom ihåg att Apple är medveten om detta problem och kommer att utfärda en säkerhetsuppdatering inom en snar framtid för att åtgärda felet. Under tiden gör du själv en tjänst och ställer in eller ändrar root-lösenordet på Mac-datorer som kör MacOS High Sierra för att skydda dem mot obehörig fullständig åtkomst till maskinen och all dess data och innehåll.