macOS Flaw yang tidak memerlukan kata laluan untuk mengakses akar

Computer Security News

Pepijat boleh mengeksploitasi macOS Sierra tinggi untuk mendapatkan akar akses ke dalam sistem tanpa memasukkan kata laluan mana-mana. Sejak mengeksploitasi jauh juga didapati, pengguna menjangkakan bahawa Apple akan melepaskan tampalan tidak lama lagi.

Sejak kemunculan Sierra tinggi, sesetengah pengguna mengadu bahawa selepas mengemaskini sistem pengendalian akaun admin mereka telah bertukar menjadi orang-orang yang standard. Pada November 13, seorang pengguna di forum pemaju Apple yang mencadangkan pembalakan dengan “root” dan kata laluan tidak diperlukan untuk mendapat akses untuk mencipta akaun pentadbir. Walau bagaimanapun, seminggu kemudian, ternyata bahawa log ke dalam akaun akar tanpa kata laluan tidak harus dibuat dan bahawa ini adalah satu kelemahan utama.

Untuk mendapat akses akar melalui kelemahan tersebut di atas, memerlukan memasukkan nama pengguna “root” dalam antara muka pengguna grafik (GUI) dan meninggalkan medan kata laluan kosong. Menurut SecurityWeek, ini adalah agak mudah untuk penghasilan semula, walaupun beberapa percubaan amat diperlukan.

Penggodam hanya perlu mengakses “Sistem pilihan” dari menu epal dan klik pada mana-mana kategori yang memerlukan keistimewaan pentadbir untuk membuat perubahan (misalnya Keselamatan & privasi, pengguna & Kumpulan, kawalan ibu bapa).

Selepas itu mereka perlu klik pada ikon kunci di sudut kiri bahagian bawah tetingkap dan masukkan nama pengguna “root” dengan kata laluan yang kosong apabila digesa. Kemudian, tekan kekunci Enter atau butang buka kunci dua kali dan akses akar adalah dibenarkan.

selepas menganalisis kelemahan, pakar-pakar tersebut melaporkan bahawa percubaan untuk log masuk sebagai akar dengan kata laluan yang kosong mengaktifkan Subrutin yang mencipta akaun akar, yang Apple telah menyahdayakan secara lalai. Apabila akaun akar telah diaktifkan, log masuk sebagai akar dengan kata laluan tidak berfungsi pada satu masa.

Di samping itu, penggodam macOS Patrick Wardle dan rakannya telah berjaya untuk menghasilkan semula kecacatan dari jauh serta jika berkongsi Perkhidmatan didayakan pada peranti.

Keselamatan para penyelidik memberi amaran bahawa penggodam dapat mengimbas di Web boleh diakses dari jauh komputer yang mereka boleh menyerang menggunakan macOS flaw.

Pada masa ini, Apple sedang bekerja menampal kelemahan. Sementara itu, pengguna boleh melindungi diri mereka terhadap potensi serangan oleh manual mengeset kata laluan untuk pengguna akar. Menyahdayakan Perkhidmatan perkongsian juga adalah cara yang baik untuk mencegah eksploitasi jauh lubang Keselamatan.


Leave a Reply

Your email address will not be published. Required fields are marked *