Apple dawno nie zaliczyło tak poważnej wtopy związanej z bezpieczeństwem w swoim ekosystemie. Dobra wiadomość jest taka, że sprawę potraktowali priorytetowo i poprawka była dostępna w mniej niż 24 godziny od jej zgłoszenia.

Ciekawy jest też opis tej aktualizacji w App Store: Install this update as soon as possible.

Na czym polegał błąd roota bez hasła w High Sierra?

Każda osoba która miała fizyczny dostęp do komputa Apple z zainstalowanym najnowszym systemem operacyjnym – MacOS High Sierra mógł zalogować się na konto roota bez hasła. Piszą bez hasła mam na myśli dosłowne znaczenie tego słowa.

Otóż wystarczyło wywołać zmianę jakiś ustawień systemowych. W system Apple zmiany administracyjne wprowadza się wcześniej klikając w kłódkę. Następnie należało jako nazwę użytkownika podać root a hasło zostawić puste i kliknąć w odblokuj (unlock). Przerażające prawda?

Jeden z użytkowników Twittera opublikował film:

Apple opisało ten błąd na swojej stronie.

Błąd był już opisany w czerwcu na forum Apple!

Sprawa wygląda nieco poważniej i stawia Apple w bardzo złym świetle. Pierwsze informacje o tej luce pojawiły się na oficjalnym forum Apple! A było to już w czerwcu!

Jak to możliwe, że nikt z pracowników Apple nie zajrzał w ten wątek i nie zareagował w odpowiedni sposób?!