Otkrivena je značajna sigurnosna ranjivost s macOS High Sierra, potencijalno dopuštajući bilo kojoj osobi da se prijavi na Mac s punim root administrativnim mogućnostima bez lozinke.

Ovo je hitan sigurnosni problem i iako bi uskoro trebalo stići ažuriranje softvera za rješavanje problema, ovaj članak će detaljno opisati kako zaštititi svoj Mac od ove sigurnosne rupe.

Važno ažuriranje: Apple je izdao sigurnosno ažuriranje 2017-001 za macOS High Sierra kako bi popravio pogrešku root prijave, preuzmite ga sada. Ako koristite macOS High Sierra, preuzmite ažuriranje što je prije moguće na svoj Mac.

Što je root prijava bug i zašto je bitan?

Za kratku pozadinu, sigurnosna rupa omogućuje osobi da unese 'root' kao korisničko ime i zatim se odmah prijavi kao root na Mac, bez lozinke. Root prijava bez lozinke može se dogoditi izravno s fizičkim strojem na općem korisničkom zaslonu za prijavu koji se vidi pri pokretanju sustava, s ploča System Preferences koje obično zahtijevaju autentifikaciju ili čak preko VNC-a i daljinske prijave ako su te dvije posljednje značajke daljinskog pristupa omogućene. Bilo koji od ovih scenarija tada omogućuje potpuni pristup MacOS High Sierra stroju bez upotrebe lozinke.

Korisnički račun root pruža najvišu moguću razinu pristupa sustavu na MacOS-u ili bilo kojem operativnom sustavu baziranom na Unixu, root daje sve mogućnosti administrativnih korisničkih računa na stroju uz neograničeni pristup bilo kojoj razini sustava komponente ili datoteke.

Korisnici Mac računala na koje utječe sigurnosni bug uključuju sve koji koriste macOS High Sierra 10.13, 10.13.1 ili 10.13.2 beta, a koji prethodno nisu omogućili root račun ili promijenili lozinku root korisničkog računa na Macu prije, što je velika većina Mac korisnika koji koriste High Sierra.

Zvuči loše, zar ne? Je, ali postoji prilično jednostavno rješenje koje će spriječiti da ova sigurnosna pogreška bude problem. Sve što trebate učiniti je postaviti root lozinku na pogođeni Mac.

Kako spriječiti root prijavu bez lozinke u MacOS High Sierra

Postoje dva pristupa sprječavanju root prijave bez lozinke na MacOS High Sierra računalu, možete koristiti Directory Utility ili naredbeni redak. Pokrit ćemo oboje. Directory Utility je možda lakši za većinu korisnika budući da se u potpunosti izvodi iz grafičkog sučelja na Macu, dok je pristup naredbenog retka temeljen na tekstu i općenito se smatra složenijim.

Korištenje uslužnog programa imenika za zaključavanje korijena

1. Otvorite Spotlight na Macu pritiskom na Command+razmaknicu (ili klikom na ikonu Spotlight u gornjem desnom kutu trake izbornika) i upišite “Directory Utility” i pritisnite return za pokretanje aplikacije



2. Kliknite malu ikonu lokota u kutu i potvrdite se s prijavom na administratorski račun



3. Sada povucite prema dolje izbornik “Edit” i odaberite “Change Root Password…”



4. Unesite lozinku za root korisnički račun i potvrdite, a zatim kliknite “OK”



5. Zatvaranje uslužnog programa imenika

Ako root korisnički račun još nije omogućen, odaberite “Omogući root korisnika” i umjesto toga postavite lozinku.

U biti sve što radite je dodjeljivanje lozinke root računu, što znači da će prijava s root-om tada zahtijevati lozinku kao što bi i trebala. Ako ne dodijelite lozinku za root na ovaj način, nevjerojatno, macOS High Sierra stroj prihvaća root prijavu bez lozinke uopće.

Korištenje naredbenog retka za dodjeljivanje root lozinke

Korisnici koji bi radije koristili naredbeni redak u macOS-u također mogu postaviti ili dodijeliti root lozinku pomoću sudo i standardne stare naredbe passwd.

1. Otvorite aplikaciju Terminal, koja se nalazi u /Applications/Utilities/
2. Upišite točno sljedeću sintaksu u terminal, zatim pritisnite tipku return:

sudo passwd root

3. Unesite svoju administratorsku lozinku za autentifikaciju i pritisnite return
4. Kod "Nova lozinka" unesite lozinku koju nećete zaboraviti, pritisnite return i potvrdite je

Obavezno postavite root lozinku na nešto što ćete zapamtiti, ili možda čak odgovara vašoj administratorskoj lozinci.

Kako mogu znati je li na moj Mac utjecala greška root prijave bez lozinke?

Čini se da su samo macOS High Sierra strojevi pogođeni ovom sigurnosnom greškom. Najlakši način da provjerite je li vaš Mac ranjiv na bug root prijave je da se pokušate prijaviti kao root, bez lozinke.

To možete učiniti s općeg zaslona za prijavu pri pokretanju sustava ili putem bilo koje administratorske ploče za provjeru autentičnosti (klikom na ikonu lokota) dostupne u System Preferences kao što je FileVault ili Users & Groups.

Jednostavno stavite 'root' kao korisnika, nemojte unositi lozinku i kliknite dvaput na "Otključaj" - ako bug utječe na vas, tada ćete biti prijavljeni kao root ili ćete dobiti root povlastice. Morate pritisnuti "otključaj" dvaput, prvi put kada kliknete gumb "otključaj" stvara se root račun s praznom lozinkom, a drugi put kada kliknete "otključaj" prijavljuje se, dopuštajući potpuni root pristup.

Bug, koji je u osnovi 0day root exploit, prvi je put javnosti na Twitteru prijavio @lemiorhan i brzo je privukao pozornost i medijsku pozornost zbog potencijalne ozbiljnosti utjecaja. Apple je očito svjestan problema i radi na ažuriranju softvera kako bi riješio problem.

Utječe li pogreška u root prijavi na macOS Sierra, Mac OS X El Capitan ili ranije?

Čini se da greška u root prijavi bez lozinke utječe samo na macOS High Sierra 10.13.x i čini se da ne utječe na ranije verzije softvera sustava macOS i Mac OS X.

Osim toga, ako ste prethodno omogućili root putem naredbenog retka ili uslužnog programa Directory Utility, ili promijenili root lozinku u neko drugo vrijeme, bug ne bi radio na takvom macOS High Sierra računalu.

Zapamtite, Apple je svjestan ovog problema i izdat će sigurnosno ažuriranje u bliskoj budućnosti kako bi riješio problem. U međuvremenu, učinite si uslugu i postavite ili promijenite root lozinku na Mac računalima s macOS High Sierra kako biste ih zaštitili od neovlaštenog punog pristupa računalu i svim njegovim podacima i sadržaju.