Apple e il baco dell'account root in macOS High Sierra

Ennesimo grave bug di sicurezza nell'ultima release dell'OS desktop di Cupertino, che a quanto pare permette di creare un account "root" senza specificare alcuna password. La corporation dà consigli su come tamponare il problema e anticipa l'arrivo di una patch - UPDATE
Ennesimo grave bug di sicurezza nell'ultima release dell'OS desktop di Cupertino, che a quanto pare permette di creare un account "root" senza specificare alcuna password. La corporation dà consigli su come tamponare il problema e anticipa l'arrivo di una patch - UPDATE

Sembra non esserci pace per MacOS High Sierra , ultima versione del sistema operativo per computer di Apple che si è fin da subito dimostrato piuttosto insufficiente dal punto di vista della sicurezza. L’ultimo problema in tal senso riguarda la possibile creazione di un account con privilegi di amministratore senza alcuna password , un bug triviale per eventuali malintenzionati e per il quale Cupertino dice di essere già al lavoro sulla patch .

Il bug può essere sfruttato dal box di autenticazione che compare quando si prova a modificare le impostazioni del sistema o al login del sistema operativo, box in cui basta digitare root come nome utente, lasciare il campo password vuoto e premere il pulsante di sblocco alcune volte finché la finestra non scompare.


In questo modo, avendo accesso fisico alla macchina bersaglio, è possibile creare un account con pieni privilegi di amministrazione da riutilizzare in seguito – magari anche per l’accesso da remoto – per compiere qualsiasi azione malevola.


Si tratta di un problema di sicurezza piuttosto serio, che secondo i ricercatori è possibile sfruttare anche da riga di comando – una potenziale manna per gli autori di malware interessati all’utenza di Apple. Le versioni di MacOS High Sierra vulnerabili sono la 10.13.1 e la 10.13.2 attualmente in stato di beta .

Cupertino ha ammesso l’esistenza del bug e dice di essere al lavoro su un aggiornamento software per la sua eliminazione. Nel frattempo, agli utenti viene consigliato di creare un utente “root” con tanto di password, così da impedire la comparsa della vulnerabilità.

UPDATE : Apple ha rilasciato il fix ufficiale per la risoluzione del contestato bug, scaricabile dalla sezione aggiornamenti dell’App Store di macOS.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

29 11 2017
Link copiato negli appunti