Grave falla di sicurezza in macOS High Sierra 10.13.1

Con pochi e semplici passi alla portata di chiunque, si possono ottenere i privilegi di utente root su un Mac con a bordo High Sierra 10.13.1.

High Sierra

Aggiornamento 30/11/2017: Apple ha rilasciato una patch, che è disponibile per il download sarà presto installata automaticamente su tutti i Mac con la versione 10.13.1 di macOS High Sierra.  

Nelle scorse ore è stata scoperta una vulnerabilità a dir poco pericolosa (e altrettanto inspiegabile) all’interno di macOS High Sierra 10.13.1, che di fatto permette a chiunque, e con il minimo sforzo, di avere accesso alle impostazioni del sistema operativo senza conoscere le credenziali dell’amministratore.

Come riporta infatti il tweet sottostante, basta andare in Preferenze di Sistema, selezionare Utenti e Gruppi, cliccare sul lucchetto in basso, scrivere root come nome utente, lasciare in bianco il campo della password, cliccare alcune volte su Sblocca e, in questo modo, si hanno i privilegi di root, che equivalgono a un super-utente con privilegi di lettura e scrittura su più aree del sistema, inclusi i file di altri utenti macOS.

high sierra

Prima del rilascio della patch, l’unico modo per tappare la falla di sicurezza era abilitare l’utente root e cambiare la password di quest’ultimo (qui tutti i dettagli). Normalmente infatti l’utente root dovrebbe essere disabilitato per impostazione predefinita.

La stessa Apple, conscia del problema, ha ribadito che l’impostazione di una password di root impedisce l’accesso non autorizzato al Mac utilizzando questo metodo tanto banale quanto pericoloso.

WHITEPAPER GRATUITI