macOS惊爆史诗级漏洞:任何人都可以轻松获取 root 权限?
苹果公司最新的macOS系统出现严重漏洞,用户只需输入ro开发者_StackOverflow社区ot作为用户名即可进入系统,意味着无需密码即可解锁安装macOSHighookSierrra系统的苹果计算机。用户只需进入系统偏好设置,选择用户和组,点击解锁按钮,就会弹出提示框,要求输入用户名和密码才能更改设置。其次,只需在用户名栏中输入root,即可不填写密码,多次点击解锁即可进入系统。
这个脆弱性实际上并不是故意的,应该是负责这部分的程序员(也许是实习生的脑子浸水了。macost实际上隐藏了最高权限的账户,用户名是专业的,留给苹果的修理者和IT的人,一般用户看不见。今天这个漏洞的情况下,苹果应该会自动打开这个账户,留下空的密码,还没有告诉用户。(文末有填补漏洞的教程)
如何影响用户?例如,在电脑上制作机密文件,中午锁定屏幕/睡眠/关机吃饭,其他人可以接通电源,直接登录电脑。请注意,root是macOS中最高的权限,即使你的电脑有不同的区域,理论上坏人登录后,所有的文件都可以一览无遗。
更复杂。如果你曾经打开屏幕分享,或者让公司IT远程控制修理计算机,那么你的远程控制端口是打开的。这意味着坏人可以远程登录你的电脑。
苹果在11月30日凌晨更新补丁修复此漏洞,建议安全敏感用户及时更新。
精彩评论