当前位置:安全资讯 >> 全文

最新版MacOS有bug 反复按 "解锁”就可创建一个根账户

发布时间:2017-11-29 9:19 标签: macOS,根账户
分享到 0

最新版macOS High Sierra中出现一个bug,导致用户无需密码,而仅需反复按“偏好”面板中的一个按钮就可创建一个根账户。

攻击者能利用这个bug的唯一途径是:macOS所有人没有锁定Mac并离开座位。攻击者只需点击几下就能创建一个根账户,随后访问易受攻击的设备。这个根账户也可被用于远程登录易受攻击的设备。

Bug运作方式

1.     打开macOS系统的“偏好”窗口。

2.     进入“用户和群组”。

3.     点击窗口左下角的锁图标。

4.     在“用户名”字段输入 root

5.     将光标放在“密码”字段。

6.     反复按“解锁”按钮直至用户创建成功。

无需密码,只需通过以上几个步骤就能创建一个根账户。攻击者可随后利用这个账户合法登录受害者的Mac设备。

bug影响macOS High Sierra 10.13.110.13.2 Beta版本。用户可自己创建一个根账户并为其设置自定义密码,这样攻击者就无法创建另外一个根账户了。

土耳其软件开发员Lemi Orhan Ergin发现了这个bug,并刚刚发布在推特上。很多其他macOS用户也独立确认了该问题的存在。苹果公司已意识到问题的存在,目前正在着手推出补丁。

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/apple/macos-bug-lets-you-create-a-root-account-by-repeatedly-pressing-a-button/
参与讨论,请先 登录 | 注册

用户评论