更多

    macOS 發現驚人漏洞 root 帳號冇密碼冇王管

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    root 帳號是 UNIX 型系統的最高權限帳戶,可以控制整個系統,所以一般很少會直接使用這個帳戶來工作。本來在 macOS 裡,大家是很少機會踫到這個帳戶,不過最近就有人發現 macOS 的最新版本 High Sierra 裡,竟然可以讓人在不用輸入密碼的情況下,以 root 帳戶登入!這真是天大的漏洞!

    原來 High Sierra 裡的 root 帳戶,可能是沒有設定密碼的!
    原來 High Sierra 裡的 root 帳戶,可能是沒有設定密碼的!

    土耳其的軟件開發人 Lemi Orhan Ergin 在 Twitter 公布他這個驚人發現。他指出 Mac 機用戶的電腦如果已升級到 High Sierra 的話,只要開啟「系統偏好設定>用戶與群組」然後按一下視窗左下角用來解鎖高級設定的小鎖頭,在彈出來的密碼視窗的 User name 輸入「 root 」 ,移至 Password 欄後按「 Unlock 」鍵,就會發現竟然可以在沒有輸入密碼的情況下,以 root 帳戶解鎖!
    SANS Internet Storm Center 發出通告,並提出補救措施。
    SANS Internet Storm Center 發出通告,並提出補救措施。

    我們都測試過有關的方法,證實是可行的。而美國保安機構 SANS Internet Storm Center 的研究人員就估計, Apple 在 High Sierra 裡提供的 root 帳戶,可能是沒有設定任何密碼的!這會對所有使用 High Sierra 的用戶構成重大風險,實在想不到 Apple 會犯上這種低級錯誤。

    設定 root 密碼保平安

    現時未知有關漏洞是否僅在 High Sierra 上發生,還是其他版本的 macOS 也受影響,雖然官方未公布任何修補方案,但為保障自己,大家還是盡快按照以下步驟來設定 root 帳號的密碼吧。
    03

    1. 開啟「終端機」
    2. 在終端機視窗輸入指令「sudo passwd root」
    3. 輸入自己的登入密碼
    4. 設定 root 的密碼,並將該密碼記下來以備將來需要

    您會感興趣的內容

    相關文章