更多

    macOS 發現驚人漏洞 root 帳號冇密碼冇王管

    Mickey Chan
    Mickey Chan
    愛騎單車的宅,眼鏡娘控。 1.膽固醇跟美味是成正比的; 2.所有人都可以騙,但絕對不能騙自己; 3.賣掉的貨才是錢,不賣的收藏品不值一文; 4.踩單車,是為了吃更多美食! 5.正義的話語,不一定出自正義之人的口;

    Google 承認已停止發售 Pixel 3a

    Google 正式承認當售清存貨之後,就會停售 Pixel 3a 。現時美國 Google Store 已經顯示沒有存貨,但台灣方面就無論 Pixel 3a 還是屏幕較大的 Pixel 3a XL 也仍然有售。

    Thunderbolt 4 下周發表 支援線材已在 Apple Store 有售!?

    Thunderbolt 3 介面推出近 10 年,隨著 Intel 去年開放 Thunderbolt 協定專利、 USB Promoter Group 宣布推出 USB4 規格, Intel 也準備在下星期四 7 月 9 日召開媒體說明會,公布有關 Thunderbolt 4 的最新技術和市場布局。不過據聞 USB Promoter Group 成員之一的 Apple 可能已經悄悄地在 Apple Store 上推出對應 Thunderbolt 4 的線材。

    Apple Arcade 改變策略挽留玩家 Apple 終止部分遊戲開發合約

    Apple 去年推出一系列訂閱服務,希望將公司盈利重心由售賣硬件轉為提供內容服務。可惜似乎在各方面都踫壁,需要改變營運策略。而最近傳出「被開刀」的,就是遊戲訂閱服務 Apple Arcade 。據知情人士透露, Apple 在 4 月中的電話會議上向部分遊戲開發商提出終止現有遊戲的開發合約,轉而尋求更能吸引訂戶持續玩下去的遊戲作品。

    root 帳號是 UNIX 型系統的最高權限帳戶,可以控制整個系統,所以一般很少會直接使用這個帳戶來工作。本來在 macOS 裡,大家是很少機會踫到這個帳戶,不過最近就有人發現 macOS 的最新版本 High Sierra 裡,竟然可以讓人在不用輸入密碼的情況下,以 root 帳戶登入!這真是天大的漏洞!

    原來 High Sierra 裡的 root 帳戶,可能是沒有設定密碼的!
    原來 High Sierra 裡的 root 帳戶,可能是沒有設定密碼的!

    土耳其的軟件開發人 Lemi Orhan Ergin 在 Twitter 公布他這個驚人發現。他指出 Mac 機用戶的電腦如果已升級到 High Sierra 的話,只要開啟「系統偏好設定>用戶與群組」然後按一下視窗左下角用來解鎖高級設定的小鎖頭,在彈出來的密碼視窗的 User name 輸入「 root 」 ,移至 Password 欄後按「 Unlock 」鍵,就會發現竟然可以在沒有輸入密碼的情況下,以 root 帳戶解鎖!
    SANS Internet Storm Center 發出通告,並提出補救措施。
    SANS Internet Storm Center 發出通告,並提出補救措施。

    我們都測試過有關的方法,證實是可行的。而美國保安機構 SANS Internet Storm Center 的研究人員就估計, Apple 在 High Sierra 裡提供的 root 帳戶,可能是沒有設定任何密碼的!這會對所有使用 High Sierra 的用戶構成重大風險,實在想不到 Apple 會犯上這種低級錯誤。

    設定 root 密碼保平安

    現時未知有關漏洞是否僅在 High Sierra 上發生,還是其他版本的 macOS 也受影響,雖然官方未公布任何修補方案,但為保障自己,大家還是盡快按照以下步驟來設定 root 帳號的密碼吧。
    03

    1. 開啟「終端機」
    2. 在終端機視窗輸入指令「sudo passwd root」
    3. 輸入自己的登入密碼
    4. 設定 root 的密碼,並將該密碼記下來以備將來需要

    相關文章