Уязвимость в macOS High Sierra позволяет получить права администратора без пароля

Уязвимость в macOS High Sierra позволяет получить права администратора без пароля

Для эксплуатации уязвимости не требуется никаких специальных технических навыков или стороннего ПО.

image

Исследователь безопасности Леми Орхан Эргин (Lemi Orhan Ergin) обнаружил уязвимость в macOS High Sierra, позволяющую любому пользователю получить права суперпользователя на устройстве без необходимости вводить какой-либо пароль.

Для эксплуатации уязвимости не требуется никаких специальных технических навыков или стороннего ПО. Необходимо всего лишь сменить пользователя на устройстве и в открывшемся окне авторизации ввести root в качестве имени пользователя, а строку пароля оставить пустой. После описанных выше действий система предоставит права суперпользователя. Проблема была обнаружена в версиях MacOS High Sierra 10.13.0, 10.13.1 и 10.13.2.

Как и в любой системе на основе Unix/Linux, суперпользователь может управлять всеми функциями администрирования, в том числе просматривать и редактировать любые файлы на системе. Теоретически доступ с правами суперпользователя должен быть по умолчанию отключен в операционных системах Apple, однако на практике это не так.

Права суперпользователя также позволяют выдавать себе все необходимые разрешения и создавать новые учетные записи, в том числе с правами администратора.

По словам исследователей безопасности, данную уязвимость можно проэксплуатировать удаленно с помощью функции совместного использования экрана или функции удаленного управления.

Представители компании Apple подтвердили существование данной уязвимости. По их словам, добавление пароля для доступа с правами суперпользователя устраняет проблему. «Мы работаем над обновлением программного обеспечения для решения этой проблемы», - следует из заявления компании.


Баги в софте могут влиять на судьбы заключенных в тюрьмах, недобросовестные полицейские находят слабые места в копирайт-защите соцсетей, киберпреступники и вирусы-вымогатели продолжают атаковать пользователей по всему миру. Смотрите новый выпуск на нашем Yotube канале