時間:2017-12-01 來源:互聯網 瀏覽量:
本周二安全專家曝出了macOS High Sierra 10.13存在嚴重安全威脅,即root賬號密碼為空的登陸漏洞,幸虧蘋果第一時間就推送 macOS 安全更新,修複了root賬號登陸漏洞。 人們不用太過驚訝蘋果的反應速度,其實在本月中旬有人就在蘋果開發者論壇提到過相關問題,當時蘋果可能並未引起重視。
一位網友Ergin發布Medium讀推分享了一則故事:“一周前我工作公司的IT員工在幫助我同事恢複本地管理員賬號的時候,就發現了這一故障,他利用這一漏洞迅速恢複了賬號權限。到了11月23日,公司的IT部門通知了蘋果這一問題。他們還在蘋果開發論壇上搜索了相關故障,發現在11月13日時就有人報告。但蘋果並沒有注意到。”
Ergin提到的蘋果開發論壇相關故障報告帖實際上在 6月8日 就被發起了,一名用戶在WWDC後更新至macOS High Sierra beta測試版本,他不明白為什麼自己的管理員賬號會變成標準賬號。許多用戶也反映遇到了相同的問題。 而在11月13日,chethan177網友回複了這個帖子,提供了一個解決方案,並利用了root登陸賬戶密碼空白的漏洞。 這意味著這一漏洞被人發現已經至少有兩周了,但並沒有引起蘋果和公眾的注意。
隨後,chethan177網友再次回複了這一帖子,稱他當時並不知道這其實是一個安全漏洞,一切似乎隻是巧合。他此前遭遇了更改Apple ID後,管理員賬戶莫名其妙變成普通賬戶的問題。他在蘋果論壇上搜索了好久,嚐試了所有方法都沒奏效。在極度的失望下,自己居然發現隻要把賬號名變成ROOT,並且把密碼留空就能得到最高權限。然後他恢複了自己賬號的管理員權限,並且沒有意識到這是一個安全漏洞。所以也沒有向蘋果報告。