Pericoloso e per molti aspetti inspiegabile bug di sicurezza su High Sierra 10.13.1: chiunque può avere accesso alle impostazioni del sistema operativo senza conoscere le credenziali dell’amministratore. Basterà scrivere Root come nome utente, lasciando in bianco il campo della password. La scoperta del bug, davvero incredibile, è di Lemi Orhan Origin, in un post Twitter a sua volta ripreso da una serie di siti americani che sottolineano la pericolosità di una falla di questo tipo.
Per vedere il bug all’opera basta richiamare le Preferenze di Sistema e selezionare ad esempio la sezione “Utenti e Gruppi”: facendo click sul lucchetto in basso a sinistra (per abilitare le modifiche) il sistema chiede nome utente e password dell’amministratore per consentire l’azione. Anche non conoscendo nome-utente e password basterà indicare “root” (senza virgolette) come nome e lasciare vuoto il campo password per avere accesso alle modifiche.
L’unico modo per risolvere il problema, al momento è abilitare l’utente root (qui le istruzioni) e cambiare la password di quest’ultimo.
L’account utente denominato “root”, lo ricordiamo, è un utente che dispone di privilegi di scrittura e lettura in più aree del sistema, compresi file contenuti in altri account utente macOS. L’utente root dovrebbe normalmente essere disabilitato per impostazione predefinita. Apple ha da poco rilasciato la quinta beta dell’update che porta macOS 10.13 alla versione 10.13.2; è probabile che nelle prossime ore sarà rilasciato un update specifico per risolvere questo problema.
Aggiornamento. Apple ha rilasciato una dichiarazione affermando di stare lavorando a un aggiornamento software per risolvere il problema e spiegando che nel frattempo, l’impostazione di una password di root impedisce l’accesso non autorizzato al Mac.
Come abbiamo già evidenziato sopra, per abilitare l’utente root e impostare una password, basta seguire le istruzioni riportate qui. Se un utente root è già abilitato, per assicurarsi che non sia stata impostata una password vuota, basta seguire le istruzioni indicate nellla sezione “Modifica la password di root” della pagina di supporto del sito Apple.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use “root” with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28 novembre 2017
