Уязвимость в macOS High Sierra позволяет получить права администратора без пароля
Исследователь безопасности Леми Орхан Эргин (Lemi Orhan Ergin) обнаружил уязвимость в macOS High Sierra, позволяющую любому пользователю получить права суперпользователя на устройстве без необходимости вводить какой-либо пароль.
Для эксплуатации уязвимости не требуется никаких специальных технических навыков или стороннего ПО. Необходимо всего лишь сменить пользователя на устройстве и в открывшемся окне авторизации ввести root в качестве имени пользователя, а строку пароля оставить пустой. После описанных выше действий система предоставит права суперпользователя. Проблема была обнаружена в версиях MacOS High Sierra 10.13.0, 10.13.1 и 10.13.2.
Как и в любой системе на основе Unix/Linux, суперпользователь может управлять всеми функциями администрирования, в том числе просматривать и редактировать любые файлы на системе. Теоретически доступ с правами суперпользователя должен быть по умолчанию отключен в операционных системах Apple, однако на практике это не так.
Права суперпользователя также позволяют выдавать себе все необходимые разрешения и создавать новые учетные записи, в том числе с правами администратора.
По словам исследователей безопасности, данную уязвимость можно проэксплуатировать удаленно с помощью функции совместного использования экрана или функции удаленного управления.
Представители компании Apple подтвердили существование данной уязвимости. По их словам, добавление пароля для доступа с правами суперпользователя устраняет проблему. «Мы работаем над обновлением программного обеспечения для решения этой проблемы», - следует из заявления компании.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш