Apple dawno nie zaliczyło tak poważnej wtopy związanej z bezpieczeństwem w swoim ekosystemie. Dobra wiadomość jest taka, że sprawę potraktowali priorytetowo i poprawka była dostępna w mniej niż 24 godziny od jej zgłoszenia.
Ciekawy jest też opis tej aktualizacji w App Store: Install this update as soon as possible.
Na czym polegał błąd roota bez hasła w High Sierra?
Każda osoba która miała fizyczny dostęp do komputa Apple z zainstalowanym najnowszym systemem operacyjnym – MacOS High Sierra mógł zalogować się na konto roota bez hasła. Piszą bez hasła mam na myśli dosłowne znaczenie tego słowa.
Otóż wystarczyło wywołać zmianę jakiś ustawień systemowych. W system Apple zmiany administracyjne wprowadza się wcześniej klikając w kłódkę. Następnie należało jako nazwę użytkownika podać root a hasło zostawić puste i kliknąć w odblokuj (unlock). Przerażające prawda?
Jeden z użytkowników Twittera opublikował film:
🤣🍎👾💀☠️ pic.twitter.com/4TBh5NetIS
— patrick wardle (@patrickwardle) 28 listopada 2017
Apple opisało ten błąd na swojej stronie.
Błąd był już opisany w czerwcu na forum Apple!
Sprawa wygląda nieco poważniej i stawia Apple w bardzo złym świetle. Pierwsze informacje o tej luce pojawiły się na oficjalnym forum Apple! A było to już w czerwcu!
Jak to możliwe, że nikt z pracowników Apple nie zajrzał w ten wątek i nie zareagował w odpowiedni sposób?!