MacOS High Sierrassa on löydetty merkittävä tietoturvaheikkous, jonka avulla kuka tahansa voi kirjautua Maciin täydellä pääkäyttäjän oikeuksilla ilman salasanaa.

Tämä on kiireellinen tietoturvaongelma, ja vaikka ohjelmistopäivityksen pitäisi saapua ratkaisemaan ongelman pian, tässä artikkelissa kerrotaan, kuinka voit suojata Macisi tältä tietoturva-aukolta.

Tärkeä päivitys: Apple on julkaissut suojauspäivityksen 2017-001 macOS High Sierralle korjatakseen juurikirjautumisvirheen. Lataa se nyt. Jos käytät macOS High Sierraa, lataa päivitys mahdollisimman pian Maciin.

Mikä on pääkäyttäjän kirjautumisvirhe ja miksi sillä on merkitystä?

Nopeaksi taustaa varten tietoturva-aukko antaa käyttäjän kirjoittaa "root" käyttäjätunnukseksi ja kirjautua sitten välittömästi sisään Maciin root-käyttäjänä ilman salasanaa. Salasanaton root-kirjautuminen voi tapahtua suoraan fyysisellä koneella yleisessä käyttäjän kirjautumisnäytössä, joka näkyy käynnistyksen yhteydessä, System Preferences -paneeleista, jotka yleensä vaativat todennusta, tai jopa VNC:n ja etäkirjautumisen kautta, jos nämä kaksi jälkimmäistä etäkäyttötoimintoa ovat käytössä. Mikä tahansa näistä skenaarioista sallii sitten täyden pääsyn MacOS High Sierra -koneeseen ilman salasanaa.

Root-käyttäjätili tarjoaa korkeimman mahdollisen järjestelmän käyttöoikeuden MacOS- tai millä tahansa unix-pohjaisella käyttöjärjestelmällä, root myöntää koneen kaikki järjestelmänvalvojan käyttäjätilien ominaisuudet sekä rajoittamattoman pääsyn mille tahansa järjestelmätasolle komponentteja tai tiedostoja.

Mac-käyttäjiä, joihin tietoturvavirhe vaikuttaa, ovat kaikki, jotka käyttävät macOS High Sierra 10.13, 10.13.1 tai 10.13.2 betaversiota ja jotka eivät ole aiemmin ottaneet root-tiliä käyttöön tai vaihtaneet pääkäyttäjätilin salasanaa Macissa ennen, mikä on suurin osa Mac-käyttäjistä, jotka käyttävät High Sierraa.

Kuulostaa huonolta, eikö? On, mutta on olemassa melko helppo kiertotapa, joka estää tämän tietoturvavirheen muodostumisen ongelmaksi. Sinun tarvitsee vain asettaa pääkäyttäjän salasana kyseiselle Macille.

Kuinka estää juurikirjautuminen ilman salasanaa MacOS High Sierrassa

On kaksi tapaa estää pääkäyttäjän kirjautuminen ilman salasanaa MacOS High Sierra -koneessa. Voit käyttää Hakemistoapuohjelmaa tai komentoriviä. Katamme molemmat. Hakemistoapuohjelma on ehkä helpompaa useimmille käyttäjille, koska se toteutetaan kokonaan Macin graafisesta käyttöliittymästä, kun taas komentorivin lähestymistapa on tekstipohjainen ja sitä pidetään yleensä monimutkaisempana.

Hakemistoapuohjelman käyttäminen juuren lukitsemiseen

1. Avaa Spotlight Macissa painamalla Komento+Välilyönti (tai napsauttamalla Spotlight-kuvaketta valikkorivin oikeassa yläkulmassa) ja kirjoittamalla "Hakemisto-apuohjelma" ja painamalla palautuspainiketta käynnistääksesi sovelluksen



2. Klikkaa kulmassa olevaa pientä lukkokuvaketta ja todenna järjestelmänvalvojan tunnuksella



3. Vedä nyt "Muokkaa"-valikko alas ja valitse "Vaihda pääsalasana…"



4. Anna root-käyttäjätilin salasana ja vahvista ja napsauta sitten "OK"



5. Sulje Directory Utility -apuohjelma

Jos pääkäyttäjätiliä ei ole vielä otettu käyttöön, valitse "Ota pääkäyttäjä käyttöön" ja aseta sen sijaan salasana.

Pohjimmiltaan teet vain salasanan määrittämistä root-tilille, mikä tarkoittaa, että sisäänkirjautuminen root-tilillä vaatii salasanan kuten pitääkin. Jos et määritä salasanaa rootille tällä tavalla, macOS High Sierra -kone hyväksyy pääkäyttäjän kirjautumisen ilman salasanaa.

Komentorivin käyttäminen juurisalasanan määrittämiseen

Käyttäjät, jotka haluavat käyttää komentoriviä mieluiten macOS:ssä, voivat myös asettaa tai määrittää pääkäyttäjän salasanan sudo-komennolla ja tavallisella vanhalla passwd-komennolla.

1. Avaa Terminal-sovellus, joka löytyy kohdasta /Applications/Utilities/
2. Kirjoita seuraava syntaksi täsmälleen terminaaliin ja paina sitten paluunäppäintä:

Sudo passwd root

3. Anna järjestelmänvalvojan salasana todentaaksesi ja paina return
4. Syötä "Uusi salasana" -kohtaan salasana, jota et unohda, paina return ja vahvista se

Varmista, että asetat pääkäyttäjän salasanaksi jotain, jonka muistat, tai ehkä jopa vastaavan järjestelmänvalvojan salasanasi.

Mistä tiedän, vaikuttaako salasanaton root-kirjautumisvirhe Maciini?

Näyttää siltä, ​​että tämä tietoturvavirhe vaikuttaa vain macOS High Sierra -koneisiin. Helpoin tapa tarkistaa, onko Macisi alttiina pääkäyttäjän kirjautumisvirheelle, on yrittää kirjautua sisään root-käyttäjänä ilman salasanaa.

Voit tehdä tämän yleisestä käynnistyskirjautumisnäytöstä tai minkä tahansa järjestelmänvalvojan todennuspaneelin kautta (napsauttamalla lukkokuvaketta), jotka ovat käytettävissä järjestelmäasetuksissa, kuten FileVault tai Users & Groups.

Aseta "root" käyttäjäksi, älä syötä salasanaa ja napsauta "Avaa" kahdesti – jos virhe vaikuttaa sinuun, kirjaudut sisään pääkäyttäjänä tai sinulle myönnetään pääkäyttäjän oikeudet. Sinun on painettava "avaa" kahdesti. Kun napsautat "avaa"-painiketta ensimmäisen kerran, se luo päätilin tyhjällä salasanalla, ja toisen kerran, kun napsautat "avaa lukitus", se kirjautuu sisään ja mahdollistaa täyden pääkäyttäjän oikeudet.

Vigasta, joka on pohjimmiltaan 0-päivän pääkäyttäjän hyväksikäyttö, @lemiorhan ilmoitti ensimmäisenä yleisölle Twitterissä, ja se on nopeasti saanut runsaasti huomiota ja mediahuomiota vaikutuksen mahdollisen vakavuuden vuoksi. Apple on ilmeisesti tietoinen ongelmasta ja työskentelee ohjelmistopäivityksen parissa ongelman ratkaisemiseksi.

Vaikuttaako pääkäyttäjän kirjautumisvirhe macOS Sierraan, Mac OS X El Capitaniin tai ennen?

Salasanaton pääkäyttäjän kirjautumisvirhe näyttää vaikuttavan vain macOS High Sierra 10.13.x:ään, eikä se vaikuta macOS:n ja Mac OS X:n järjestelmäohjelmiston aiempiin versioihin.

Lisäksi, jos olet aiemmin ottanut rootin käyttöön komentorivillä tai hakemistotyökalulla tai vaihtanut root-salasanan joskus muulloin, virhe ei toimi tällaisessa macOS High Sierra -koneessa.

Muista, että Apple on tietoinen tästä ongelmasta ja julkaisee lähitulevaisuudessa tietoturvapäivityksen vian korjaamiseksi. Tee sillä välin itsellesi palvelus ja aseta tai vaihda pääkäyttäjän salasana macOS High Sierraa käyttäville Maceille suojataksesi niitä luvattom alta pääsyltä koneeseen ja kaikkiin sen tietoihin ja sisältöön.