Mac知道
    Facebook Twitter Instagram
    Mac知道
    Subscribe
    • 主页
    • 新闻资讯
    • Mac软件
    • Mac教程
    • Apple Wiki
    • Apple Products
    Mac知道
    主页»新闻资讯»大漏洞:macOS High Sierra 无需密码即可获得 Root 权限

    大漏洞:macOS High Sierra 无需密码即可获得 Root 权限

    二狗子发布者: 二狗子2017年11月29日更新于:2017年11月29日没有评论阅读时长: 1 分钟

    近日,有国外网友发现了一个 macOS High Sierra 严重的漏洞,据了解,新版 macOS High Sierra 可以让任何人无需密码就能获取一台 Mac 的 Root 登陆权限。

    一台运行了 macOS High Sierra 的 Mac

    漏洞的发现者 Lemi Orhan Ergin 在 Twitter 中表示已将这个问题反映给了 Apple:

    Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as “root” with empty password after clicking on login button several times. Are you aware of it @Apple?

    1.漏洞复现

    无论是任何权限的账户,只要按照以下步骤,都可以获取到 Root 权限:

    1. 打开系统偏好设置
    2. 选择“用户与组”
    3. 点击左下方的小锁图标解除锁定
    4. 用户名输入 root,密码为空,点击”解锁”

    据用户报告,有时候点击“解锁”的时候会提示 root 账户已起用,多试几次即可。

    此时就已经获得了 root 权限,可以管理任何用户的账户、密码。macOS High Sierra 漏洞演示

    据报道,即使在未登录的 Mac 上,在登录屏幕界面点击“其它”,然后输入用户名 root 和空密码,也可以登录到Finder 桌面(未验证)。

    2.影响范围

    漏洞出现在在 macOS 10.13, 10.13.1 和 10.13.2 测试版。

    3.非官方修复方案

    在 Apple 发布本次漏洞补丁之前,您可以手动启用 root 账户,并给 root 账户添加密码。这样操作后,本次漏洞会暂时性修复。

    推荐阅读:

    • Apple 发布 2017-001 补丁紧急修复安全漏洞
    • macOS High Sierra 又爆漏洞:任意密码解锁 App Store 设置
    • Apple 发布 macOS High Sierra 10.13.3 Beta 5 开发者测试版
    • macOS High Sierra 10.13.5 Beta 1 发布

    更多文章

    Apple 发布 macOS High Sierra 10.13.3 Beta 5 开发者测试版

    macOS High Sierra 又爆漏洞:任意密码解锁 App Store 设置

    Apple 发布 2017-001 补丁紧急修复安全漏洞

    显示留言

    评论区 Cancel Reply

    最新文章
    Mac配件

    罗技 MX keys Mac 版和普通版区别

    2022年4月3日

    罗技 MX Keys 是 Mac 上较为推荐的第三方键盘之一。它有普通版和 Mac 专用版两个版本,…

    苹果发布 macOS Monterey 12.3.1 正式版

    2022年4月1日

    反馈助理 – 向苹果提交错误报告工具

    2022年1月3日

    苹果即将推出虎年限量版 AirTag 和 Beats Studio Buds

    2021年12月28日
    Mac知道
    Facebook Twitter Instagram
    • 联系我们
    • 隐私保护
    • 站点地图
    © 2017-2022 Mac知道. ICP License: 豫ICP备15028777号.

    按下 Enter 键开始搜索. 按下 Esc 键退出.