Apple e il baco dell'account root in macOS High Sierra

Ennesimo grave bug di sicurezza nell'ultima release dell'OS desktop di Cupertino, che a quanto pare permette di creare un account "root" senza specificare alcuna password. La corporation dà consigli su come tamponare il problema e anticipa l'arrivo di una patch - UPDATE

Roma – Sembra non esserci pace per MacOS High Sierra , ultima versione del sistema operativo per computer di Apple che si è fin da subito dimostrato piuttosto insufficiente dal punto di vista della sicurezza. L’ultimo problema in tal senso riguarda la possibile creazione di un account con privilegi di amministratore senza alcuna password , un bug triviale per eventuali malintenzionati e per il quale Cupertino dice di essere già al lavoro sulla patch .

Il bug può essere sfruttato dal box di autenticazione che compare quando si prova a modificare le impostazioni del sistema o al login del sistema operativo, box in cui basta digitare root come nome utente, lasciare il campo password vuoto e premere il pulsante di sblocco alcune volte finché la finestra non scompare.


In questo modo, avendo accesso fisico alla macchina bersaglio, è possibile creare un account con pieni privilegi di amministrazione da riutilizzare in seguito – magari anche per l’accesso da remoto – per compiere qualsiasi azione malevola.


Si tratta di un problema di sicurezza piuttosto serio, che secondo i ricercatori è possibile sfruttare anche da riga di comando – una potenziale manna per gli autori di malware interessati all’utenza di Apple. Le versioni di MacOS High Sierra vulnerabili sono la 10.13.1 e la 10.13.2 attualmente in stato di beta .

Cupertino ha ammesso l’esistenza del bug e dice di essere al lavoro su un aggiornamento software per la sua eliminazione. Nel frattempo, agli utenti viene consigliato di creare un utente “root” con tanto di password, così da impedire la comparsa della vulnerabilità.

UPDATE : Apple ha rilasciato il fix ufficiale per la risoluzione del contestato bug, scaricabile dalla sezione aggiornamenti dell’App Store di macOS.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • 08e11df6091 scrive:
    Abuso incluso nella legge
    Estratto, con un po di omissis per chiarezza, del testo linkato dall'articolo. <i
    3. L'Agenzia delle entrate, qualora constati che un soggetto non residente, [...], ha effettuato, nel corso di un semestre, un numero complessivo di operazioni [...] superiore alle 1.500 unità e per un controvalore complessivo non inferiore a 1.500.000 euro, comunica al medesimo il superamento della soglia e lo invita a verificare in contraddittorio la qualificazione dell'attività [...] per il tramite di una stabile organizzazione nel territorio dello Stato. [...]4. L'invito di cui al comma 3 è notificato entro sei mesi [...] La verifica è posta in essere [...]. Qualora dal contraddittorio emerga l'esistenza di una stabile organizzazione nel territorio dello Stato del soggetto non residente, si applica la disciplina [...].5. <b
    L'invito di cui al comma 4 deve indicare l'ufficio presso il quale il soggetto non residente deve presentarsi e la data dell'incontro </b
    , che non può essere fissata prima di trenta giorni dalla data dell'invito stesso. </i
    Quindi nel comma 3 e 4 dicono che se la guardia di finanza si accorge che un soggetto straniero o residente all'estero vende in Italia puo ordinargli di aprire una sede in Italia o pagare le tasse in Italia. Non so come sia trattata una cosa simile nella legge internazionale quindi gli lascio il beneficio del dubbio. Ma poi se quello si rifiuta lo puoi tagliare fuori, bloccare l'IP, proibire i commerci e cose simili. Le autorità Italiane non possono ordinare ad uno straniero o ad un italiano residente all'estero di prendere un aereo e presentarsi in Italia. Questo è un abuso di potere che nei casi più estremi puo essere considerato un atto ostile verso un paese straniero.
    • Izio01 scrive:
      Re: Abuso incluso nella legge
      - Scritto da: 08e11df6091

      Quindi nel comma 3 e 4 dicono che se la guardia
      di finanza si accorge che un soggetto straniero o
      residente all'estero vende in Italia puo
      ordinargli di aprire una sede in Italia o pagare
      le tasse in Italia. Non so come sia trattata una
      cosa simile nella legge internazionale quindi gli
      lascio il beneficio del dubbio. Ma poi se quello
      si rifiuta lo puoi tagliare fuori, bloccare l'IP,
      proibire i commerci e cose simili. Le autorità
      Italiane non possono ordinare ad uno straniero o
      ad un italiano residente all'estero di prendere
      un aereo e presentarsi in Italia. Questo è un
      abuso di potere che nei casi più estremi puo
      essere considerato un atto ostile verso un paese
      straniero.Già, soprattutto per quanto riguarda gli stati membri della UE. Ma i soliti tecnici italiani aumma aumma pensano di essere più furbi degli altri, non immaginano mica cosa succederebbe alle aziende italiane se anche gli stati esteri scegliessero questo approccio.E se tutti gli stati membri lo facessero, la cosa si compenserebbe? Sì, ma i costi burocratici aumenterebbero a dismisura, vanificando uno dei pochi vantaggi che la UE effettivamente oggi offre.
      • Adam Smith scrive:
        Re: Abuso incluso nella legge
        In moltissimo stati che seguono le regole del WTO è previsto l' obbligo di avere una sede se vuoi vendere in quel paese.Questo è giustificato con la protezione dell' acquirente, per evitare di essere obbligati a fare causa in un paese estero e per la magistratura che in caso di truffe, sofistcazioni o falsificazioni può intervenire senza attendere rogatorie internazionali.
        • Izio01 scrive:
          Re: Abuso incluso nella legge
          - Scritto da: Adam Smith
          In moltissimo stati che seguono le regole del WTO
          è previsto l' obbligo di avere una sede se vuoi
          vendere in quel paese.
          Questo è giustificato con la protezione dell'
          acquirente, per evitare di essere obbligati a
          fare causa in un paese estero e per la
          magistratura che in caso di truffe, sofistcazioni
          o falsificazioni può intervenire senza attendere
          rogatorie internazionali.Grazie per la precisazione.Conseguenza di questo tipo di regola, però, è che solo chi ha un grosso giro di affari avrà convenienza a vendere direttamente in quei paesi. Gli altri lasceranno che eventuali clienti o venditori importino per conto loro, assoggettandosi ai dazi del caso. Creare e gestire una sede ha un costo molto alto; costo che ad oggi nella UE non occorre sobbarcarsi, ed è un vantaggio che sarebbe stupido perdere.
        • 879ce7e0006 scrive:
          Re: Abuso incluso nella legge
          - Scritto da: Adam Smith
          In moltissimo stati che seguono le regole del WTO
          è previsto l' obbligo di avere una sede se vuoi
          vendere in quel
          paese.
          Questo è giustificato con la protezione dell'
          acquirente, per evitare di essere obbligati a
          fare causa in un paese estero e per la
          magistratura che in caso di truffe, sofistcazioni
          o falsificazioni può intervenire senza attendere
          rogatorie internazionali.Ma è proprio questo il problema, la frase evidenziata in neretto nell'emendamento pubblicato significa che se viene approvata in questo modo hai una legge che se ne frega delle rogatorie internazionali.
  • scumm78 scrive:
    gli unici a essere colpiti....
    ... saranno gli utenti finali che pagheranno il 6% in piu' per la stessa cosa
    • 08e11df6091 scrive:
      Re: gli unici a essere colpiti....
      - Scritto da: scumm78
      ... saranno gli utenti finali che pagheranno il
      6% in piu' per la stessa
      cosahttp://punto-informatico.it/b.aspx?i=4415792&m=4415834#p4415834
  • claudio scrive:
    pazzi
    vorrebbero colpire i big che non vogliono venire a farsi svenare in italia ma l'unica cosa che colpiranno sono le aziende italiane e prenderanno una multazza per dazio in ambito EU.http://allarovescia.blogspot.it/2017/11/web-tax-stolt-peone.html
    • 08e11df6091 scrive:
      Re: pazzi
      - Scritto da: claudio
      vorrebbero colpire i big che non vogliono venire
      a farsi svenare in italia ma l'unica cosa che
      colpiranno sono le aziende italiane e prenderanno
      una multazza per dazio in ambito
      EU.

      http://allarovescia.blogspot.it/2017/11/web-tax-stCi voleva un bel link al solito articolo qualunquista ed ignorante che aggiunge disinformazione alla disinformazione.Questa legge nascodendosi dietro la propaganda colpisce solo i piccoli è vero. Ma la Fiat che quell'articolo cerca di far passare per vittima in realtà fa parte delle multinazionali che probabilmente si nascondono dietro ai lobbisti che hanno influenzato il testo della legge. http://punto-informatico.it/b.aspx?i=4415792&m=4415833#p4415833E' vero che la regione Sicilia paga fanXXXXXsti, ma usarli solo per propaganda per ogni XXXXXta che non ha niente a che vedere con la loro storia fa parte delle solite guerre tra poveri che il sistema cerca di alimentare per mantenere il potere.
      • Izio01 scrive:
        Re: pazzi
        - Scritto da: 08e11df6091
        - Scritto da: claudio

        vorrebbero colpire i big che non vogliono
        venire

        a farsi svenare in italia ma l'unica cosa che

        colpiranno sono le aziende italiane e
        prenderanno

        una multazza per dazio in ambito

        EU.




        http://allarovescia.blogspot.it/2017/11/web-tax-st

        Ci voleva un bel link al solito articolo
        qualunquista ed ignorante che aggiunge
        disinformazione alla disinformazione.
        Scusa, ma l'idea di tassare il fatturato effettivamente era alla base dell'IGE. Pure io che non sono un economista so che l'IVA venne introdotta per non penalizzare i prodotti che richiedevano tante fasi di lavorazione e pagavano la stessa tassa su ognuna di esse.Tassare i ricavi lordi non è generalmente una grande idea, tant'è vero che per fortuna non si applica al commercio normale. Su un sacco di merci, il guadagno del venditore il 6% non lo raggiunge proprio.Quindi il risultato pratico quale sarà? Di far pagare di più gli acquirenti finali, proprio come se l'IVA aumentasse di svariati altri punti percentuali.
      • claudio scrive:
        Re: pazzi
        - Scritto da: 08e11df6091

        http://allarovescia.blogspot.it/2017/11/web-tax-st

        Ci voleva un bel link al solito articolo
        qualunquista ed ignorante che aggiunge
        disinformazione alla
        disinformazione.Certo, e allora esplica tu le conseguenze di una legge fatta con il birillo e perche e' errata sotto ogni punto di vista

        Questa legge nascodendosi dietro la propaganda
        colpisce solo i piccoli è vero. Ma la Fiat che
        quell'articolo cerca di far passare per vittima
        in realtà fa parte delle multinazionali che
        probabilmente si nascondono dietro ai lobbisti
        che hanno influenzato il testo della legge.La fiat e' menzionata solo perche e' l'ennesima fuga.Se a te sta bene che le aziende scappino fammelo sapere, insieme a come pensi di campare..


        http://punto-informatico.it/b.aspx?i=4415792&m=441un commento di chi non ha capito perche succede. Comunque la webtax non ferma la fuga di tasse.

        E' vero che la regione Sicilia paga fanXXXXXsti,
        ma usarli solo per propaganda per ogni XXXXXta
        che non ha niente a che vedere con la loro storia
        fa parte delle solite guerre tra poveri che il
        sistema cerca di alimentare per mantenere il
        potere.L'italia ha enomi buchi che drenano miliardi, non noccioline. La sicilia e' uno dei luoghi dove vengono fatti danni grossi che debbono venir ripagati dall'aumento tasse. Fammi capire se non e' il tipico (non unico, non il piu' folle ma la perfetta sintesi) esempio da mostrare.Le guerre che citi, desiderate in questo caso dal parlamento siciliano, andrebbero azzerate. Bonuspack 12 miliardi in 10 anni: di roba ne fai.Ricapitolando tu manterrensti tutto uguale, con tasse monstre e stipenditi ad caxxum e sei pro una tassa da parratina?
        • 08e11df6091 scrive:
          Re: pazzi


          Certo, e allora esplica tu le conseguenze di una
          legge fatta con il birillo e perche e' errata
          sotto ogni punto di
          vista
          Già fatto, anche se fai finta di non vedere il link:http://punto-informatico.it/b.aspx?i=4415792&m=4415833#p4415833

          La fiat e' menzionata solo perche e' l'ennesima
          fuga.La Fiat è presentata come una vittima, ma in quanto multinazionale con sede in paradisi fiscali è una beneficiaria di questa legge che fa finta di colpire le multinazionali e poi le ignora.
          Se a te sta bene che le aziende scappino fammelo
          sapere, insieme a come pensi di campare..Il solito ricatto dei padroni che minacciano di andarsene e sventolano i conti sui posti di lavoro come se i lavoratori fossero ostaggi.

          un commento di chi non ha capito perche succede.
          Comunque la webtax non ferma la fuga di
          tasse.
          Questo ĺ'ho detto, quello che dico è che sul come e sul perché tu e l'articolo fate disinformazione.

          Ricapitolando tu manterrensti tutto uguale, con
          tasse monstre e stipenditi ad caxxum e sei pro
          una tassa da parratina?https://en.wikipedia.org/wiki/Straw_manNel tuo ricapitolando non c'è assolutamente niente di quello che ho scritto io, c'è solo quello che fa comodo a te per portare avanti le solite balle.
  • 08e11df6091 scrive:
    Apple ringrazia
    La propaganda ha usato per tanto tempo il nome di Apple e Google per sostenere questa grande iniziativa e poi quando si va a vedere questa Web Tax si scopre che il bersaglio non sono loro. Il giornalista cerca ancora di mantenere vivo l'inganno dicendoci come i paradisi fiscali si oppongono a questa legge (che spauracchio!).Ma la realtà è ben diversa, questa tassa non tocca il meccanismo di profit shifting che permette alle multinazionali di non pagare tasse sugli utili d'impresa dichiarando tutto in Irlanda. Questa tassa non tocca tutti i meccanismi di elusione fiscale usati dalle grandi imprese. Infine questa tassa stabilendo un minimo di 1500 euro per le transazioni da segnalare non tocca la pubblicità che Google vende in Italia e non tocca neanche tutti i soldi che girano intorno a Apple Store, Play store e iTunes.
  • Izio01 scrive:
    Grandioso!
    Quindi io acquirente adesso devo dichiarare all'agenzia delle entrate ogni acquisto che faccio!?Spero di no, in effetti la tassa si applica a beni e servizi ma la frase che riguarda la "partecipazione attiva dell'acquirente" parla solo di servizi, non di beni.Va bè, prepariamoci a pagare tutto quello che compriamo in rete il 6% in più. Evviva, grande conquista, naturalmente è per il nostro bene!
    • 08e11df6091 scrive:
      Re: Grandioso!
      - Scritto da: Izio01
      Quindi io acquirente adesso devo dichiarare
      all'agenzia delle entrate ogni acquisto che
      faccio!?....
      Va bè, prepariamoci a pagare tutto quello che
      compriamo in rete il 6% in più. Se vai a vedere l'emendamento al primo link leggi che la guardia di finanza tiene traccia solo delle transazioni superiori a 1500 euro, da come è scritto sembra un meccanismo messo su solo per il mercato business to business, se fai un acquisto ad un sito online come privato cittadino, se ho capito bene, non devi segnalare niente.
      • Izio01 scrive:
        Re: Grandioso!
        - Scritto da: 08e11df6091
        - Scritto da: Izio01

        Quindi io acquirente adesso devo dichiarare

        all'agenzia delle entrate ogni acquisto che

        faccio!?
        ....

        Va bè, prepariamoci a pagare tutto quello che

        compriamo in rete il 6% in più.

        Se vai a vedere l'emendamento al primo link leggi
        che la guardia di finanza tiene traccia solo
        delle transazioni superiori a 1500 euro, da come
        è scritto sembra un meccanismo messo su solo per
        il mercato business to business, se fai un
        acquisto ad un sito online come privato
        cittadino, se ho capito bene, non devi segnalare
        niente.Ah, meno male, grazie per il chiarimento.Ci mancava solo di essere responsabile per la dichiarazione dei redditi del venditore (sempre parlando di siti seri, non di roba di dubbia provenienza)!
        • Wallestain scrive:
          Re: Grandioso!
          - Scritto da: Izio01
          - Scritto da: 08e11df6091

          - Scritto da: Izio01


          Quindi io acquirente adesso devo dichiarare


          all'agenzia delle entrate ogni acquisto che


          faccio!?

          ....


          Va bè, prepariamoci a pagare tutto quello che


          compriamo in rete il 6% in più.



          Se vai a vedere l'emendamento al primo link
          leggi

          che la guardia di finanza tiene traccia solo

          delle transazioni superiori a 1500 euro, da come

          è scritto sembra un meccanismo messo su solo per

          il mercato business to business, se fai un

          acquisto ad un sito online come privato

          cittadino, se ho capito bene, non devi segnalare

          niente.

          Ah, meno male, grazie per il chiarimento.
          Ci mancava solo di essere responsabile per la
          dichiarazione dei redditi del venditore (sempre
          parlando di siti seri, non di roba di dubbia
          provenienza)!Il sole spunterà nel 2019, solo allora vedremo le scottature. :)
Chiudi i commenti