2017/11/30 更新。
Apple 官方已修復此漏洞,到 Mac App Store 安裝即可。
北京時間今日(2017/11/29)凌晨,Twitter 上一名安全公司人員 Lemi Orhan Ergin 發推公佈了一個 macOS High Sierra 系統的重要安全漏洞,Lemi 表示受這一漏洞影響,任何人都可以使用「空白密碼」隨意以 Mac 的「root」身份登入。
獲取「root」身份將會獲取 Mac 的最高許可權,可以任意檢視、甚至修改電腦上的所有檔案和資料
。
因為這個漏洞,哪怕 Mac 處於鎖定狀態下,也可以使用「root」身份登入。所以如果你的 Mac 開啟了遠端訪問並且暴露了自己的 IP 地址,那麼整個計算機都會暴露在巨大的風險之中。
影片演示
macOS 爆嚴重安全漏洞,不用密碼即可登入_騰訊影片
https://v。qq。com/x/cover/n0511fq2wd6/n0511fq2wd6。html
你可以在任意一個 Mac 使用者、管理員甚至訪客模式下透過以下步驟來複現這個漏洞以測試自己的電腦是否具有該漏洞的潛在威脅:
開啟「系統偏好設定 - 使用者與群組」;
點選左下角的「黃色小鎖」來做出變更;
在「使用者名稱」處鍵入「root」;
把滑鼠移動到「密碼」框內點選一次,但並不需要鍵入內容,保持空白即可;
點選「解鎖」,現在你應該已經獲得許可權可以隨意新增管理員賬戶了。
在鎖屏介面下,你也可以使用這樣的花招來繞過安全登入,你只需要在登入時選擇「其它」使用者,然後填寫「root」和「空白密碼」即可。
上述漏洞目前在最新版的 macOS High Sierra 10。13。1 和 macOS 10。13。2 beta 版本中測試出現。目前尚不知道如此重大的安全漏洞是如何透過蘋果的安全檢測的,但可以肯定的是,蘋果一定會在第一時間就此漏洞問題發言並立即著手修復漏洞。
臨時解決辦法
在蘋果官方給出漏洞補丁之前,我們可以自己
啟用 Root 使用者
來暫時封堵這個漏洞,方法如下:
開啟「系統偏好設定 - 使用者與群組」;
點選左下角的「黃色小鎖」來做出變更;
鍵入你自己的管理員「使用者名稱」和「密碼」;
點選「登入選項」;
在視窗的底部「網路賬戶伺服器」處點選「加入」;
選擇「開啟目錄實用工具」;
點選左下角的「黃色小鎖」來做出變更,並鍵入你自己的管理員「使用者名稱」和「密碼」;
在頂部的選單欄中選中「編輯」;
選擇「啟用 Root 使用者」;
為 root 使用者設定全新的密碼。
關閉 Root 使用者的方法和上述步驟一致,只不過第 9 步的地方選擇「停用 Root 使用者」即可。
為了進一步保護你的 Mac,你也可以同時關閉自己的「客人使用者」(雖然在你啟用了 root 密碼之後就沒有太大必要關閉「客人使用者」)。關閉「客人使用者」的方法也很簡單。你只需要去「系統偏好設定 - 使用者和群組」裡選擇「客人使用者」,然後不勾選「允許客人登入到這臺電腦」即可。
最新訊息,蘋果公司發言人已經就此漏洞作出宣告:
We are working on a software update to address this issue。 In the meantime, setting a root password prevents unauthorized access to your Mac。 To enable the Root User and set a password, please follow the instructions here:
https://
support。apple。com/en-us
/HT204012
。 If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section。