Alfonso Maruccia

Apple e il baco dell'account root in macOS High Sierra

Ennesimo grave bug di sicurezza nell'ultima release dell'OS desktop di Cupertino, che a quanto pare permette di creare un account "root" senza specificare alcuna password. La corporation dà consigli su come tamponare il problema e anticipa l'arrivo di una patch - UPDATE

Apple e il baco dell'account root in macOS High SierraRoma - Sembra non esserci pace per MacOS High Sierra, ultima versione del sistema operativo per computer di Apple che si è fin da subito dimostrato piuttosto insufficiente dal punto di vista della sicurezza. L'ultimo problema in tal senso riguarda la possibile creazione di un account con privilegi di amministratore senza alcuna password, un bug triviale per eventuali malintenzionati e per il quale Cupertino dice di essere già al lavoro sulla patch.

Il bug può essere sfruttato dal box di autenticazione che compare quando si prova a modificare le impostazioni del sistema o al login del sistema operativo, box in cui basta digitare root come nome utente, lasciare il campo password vuoto e premere il pulsante di sblocco alcune volte finché la finestra non scompare.



In questo modo, avendo accesso fisico alla macchina bersaglio, è possibile creare un account con pieni privilegi di amministrazione da riutilizzare in seguito - magari anche per l'accesso da remoto - per compiere qualsiasi azione malevola.

Si tratta di un problema di sicurezza piuttosto serio, che secondo i ricercatori è possibile sfruttare anche da riga di comando - una potenziale manna per gli autori di malware interessati all'utenza di Apple. Le versioni di MacOS High Sierra vulnerabili sono la 10.13.1 e la 10.13.2 attualmente in stato di beta.

Cupertino ha ammesso l'esistenza del bug e dice di essere al lavoro su un aggiornamento software per la sua eliminazione. Nel frattempo, agli utenti viene consigliato di creare un utente "root" con tanto di password, così da impedire la comparsa della vulnerabilità.

UPDATE: Apple ha rilasciato il fix ufficiale per la risoluzione del contestato bug, scaricabile dalla sezione aggiornamenti dell'App Store di macOS.

Alfonso Maruccia
Notizie collegate
  • AttualitàMacOS High Sierra, appena nato già colabrodo?Un noto ricercatore, ex hacker della NSA, ha identificato un altro bug di sicurezza nel codice del nuovo sistema operativo di Cupertino. Una falla zero-day in Accesso Portachiavi di cui Apple è stata messa a conoscenza
  • AttualitàMac, gli update trascurano il firmwareApple accusata di trascurare uno dei componenti base dei suoi Mac con aggiornamenti mancanti o incorretti, un problema mitigato solo dalla notevole difficoltà di sfruttamento delle falle a livello di firmware
273 Commenti alla Notizia Apple e il baco dell'account root in macOS High Sierra
Ordina
  • Attenzione, se dopo aver applicato la patch aggiornate a 10.13.1, dovrete riapplicare la patch e riavviare per rimuovere nuovamente il bug.

    https://arstechnica.com/gadgets/2017/12/updating-m...
  • Si scopre una *potenziale* vulnerabilità e il giorno stesso viene rilasciata un patch provvisoria (caso Exim, qualche articolo più sotto), stormo di commenti "ma allora il software libero non è sicuro!!!". Ora si scopre una vulnerabilità enormemente più grave che manco è stata presa sul serio per giorni e i commentatori dell'altro articolo tacciono.

    Idem ai tempi di Heartbleed (OpenSSL), tanti a stracciarsi i capelli perché la vulnerabilità è esistita, non scoperta almeno per il 99% del pianeta, per anni ed è stata patchata a stretto giro dalla scoperta, in sostanziale contemporaneità con la pubblicazione dell'annuncio. Anche qui tutti a dire che il software libero non è sicuro e che "linus è per i cantinari" (che se fosse perché preoccuparsi? Perché fare una tragedia se così tanti server (la quasi totalità dei siti web non di *terzo piano* dell'web) sono stati colpiti?

    Somma questo rant per invitare a darsi una grattatina di capoccia.
    non+autenticato
  • Beh ma tu li hai visti i macachi selvaggi di PI mettere il naso nell'articolo sullo sfruttamento degli studenti per assemblare iPhone X?
    iRoby
    9693
  • - Scritto da: iRoby
    > Beh ma tu li hai visti i macachi selvaggi di PI
    > mettere il naso nell'articolo sullo sfruttamento
    > degli studenti per assemblare iPhone
    > X?

    Ci mancherebbe. Di quello che succede in Cina, a lavoratori cinesi per fabbriche cinesi non ce ne fotte niente a nessuno.

    Quando aprirà lo stabilimento Apple in Cina ne riparleremo.

    Ovviamente nella tua becera e apocalittica ignoranza non è contemplato il termine di commessa su specifica e lavoro conto terzi.
    maxsix
    10806
  • E immagino lei sappia che vi sono pure aziende che creano appositamente "altre società" in luoghi acconci per il loro becero interesse. La Apple non lo farà a livello produzione, ma certo lo fa a livello fiscale.

    Se si vuole la becera competizione libera allora si deve anche legalizzare l'omicidio, il sabotaggio ecc. Se si sostiene di aver dei limiti morali allora questi devono includere anche la conoscenza dei propri clienti e fornitori, dell'intera filiera.
    non+autenticato
  • - Scritto da: xte
    > E immagino lei sappia che vi sono pure aziende
    > che creano appositamente "altre società" in
    > luoghi acconci per il loro becero interesse. La
    > Apple non lo farà a livello produzione, ma certo
    > lo fa a livello
    > fiscale.
    >
    B A S T A P A L L E.

    Avete rotto i coglioni nel vero senso del termine.

    https://it.wikipedia.org/wiki/Foxconn

    Foxconn International Holdings Ltd (cinese tradizionale: 富士康科技集團; cinese semplificato: 富士康科技集团; ) è una azienda multinazionale. È la più grande produttrice di componenti elettrici ed elettronici per i produttori di apparecchiature originali in tutto il mondo, e produce principalmente su contratto ad altre aziende tra le quali Amazon.com, Apple, Dell, HP, Microsoft, Motorola, Nintendo, Nokia (solo per il mercato cinese), Sony, BlackBerry e Xiaomi.


    > Se si vuole la becera competizione libera allora
    > si deve anche legalizzare l'omicidio, il
    > sabotaggio ecc. Se si sostiene di aver dei limiti
    > morali allora questi devono includere anche la
    > conoscenza dei propri clienti e fornitori,
    > dell'intera
    > filiera.

    Ma fatela finita di aspirare scie chimiche da mattina a sera.

    Che poi collezionate solo figure di merda apocalittiche come quella su Banca Etruria.
    -----------------------------------------------------------
    Modificato dall' autore il 01 dicembre 2017 11.41
    -----------------------------------------------------------
    maxsix
    10806
  • > B A S T A P A L L E.
    Sai leggere l'italiano si?

    > Ma fatela finita di aspirare scie chimiche da mattina a sera.
    Non sono né pro-commerciali né pro-neostregoni, credo nella scienza, quella che stan demolendo ogni giorno.

    > Che poi collezionate solo figure di merda
    > apocalittiche come quella su Banca Etruria.
    Interessante: non so di che figura parli. Se è come penso sappi che non sono del Partito Democristiano, come non ero della DC.
    non+autenticato
  • - Scritto da: xte
    > > B A S T A P A L L E.
    > Sai leggere l'italiano si?
    >
    Certo, e basta palle. Il contesto è stato dato dalla scimmia meccanica e tu hai confermato di essere della stessa opinione.

    Quindi sale nella coda per tutti.

    > > Ma fatela finita di aspirare scie chimiche
    > da mattina a
    > sera.
    > Non sono né pro-commerciali né pro-neostregoni,
    > credo nella scienza, quella che stan demolendo
    > ogni
    > giorno.
    >
    Dimmi a quale scienza ti stai riferendo?

    > > Che poi collezionate solo figure di merda
    > > apocalittiche come quella su Banca Etruria.
    > Interessante: non so di che figura parli.

    Qua mr. scimmia meccanica lo sa eccome.
    Tu un po' meno.

    >Se è
    > come penso sappi che non sono del Partito
    > Democristiano, come non ero della
    > DC.

    Ed ecco che ti contraddici. Se non sai ti fermavi su, invece parti con la politica quindi sai benissimo a cosa mi riferisco.

    E non serve essere di PD, DP o MM o cazzebubu.
    Basta essere persone intelligenti che prima di parlare magari, bisogna aspettare.
    maxsix
    10806
  • Vabbé se pensi che la gente sia telepatica... Mi spiace il lettore della mente l'ho lasciato in un cubo borg qualche tempo fa...
    non+autenticato
  • Macaco, ciccione, pelato, culattone e pure renziano. Ma le sfighe le hai proprio tutte, eh, massimino?
    non+autenticato
  • io passo di tanto in tanto...ma una cosa mi è stata subito evidente:
    questo Maxsix è davvero un coglione
    non+autenticato
  • Nell'articolo:
    "...permette di creare un account "root" senza specificare alcuna password"

    Ma ne ho trovata un'altra:
    https://www.zeusnews.it/n.php?c=25932
    "è possibile ottenere l'accesso a un qualunque Mac con High Sierra semplicemente indicando root come nome utente nella schermata di login e lasciando vuoto il campo della password"

    E' la stessa barzelletta sulla sicurezza raccontata in due modi diversi?
    O hanno inanellato due figure di cioccolata in rapida sequenza (una creando un account root e l'altra senza nemmeno doverlo fare)?
    non+autenticato
  • - Scritto da: xx tt
    > Nell'articolo:
    > "...permette di creare un account "root" senza
    > specificare alcuna
    > password"
    >
    > Ma ne ho trovata un'altra:
    > https://www.zeusnews.it/n.php?c=25932
    > "è possibile ottenere l'accesso a un qualunque
    > Mac con High Sierra semplicemente indicando root
    > come nome utente nella schermata di login e
    > lasciando vuoto il campo della
    > password"
    >
    > E' la stessa barzelletta sulla sicurezza
    > raccontata in due modi diversi?
    >
    > O hanno inanellato due figure di cioccolata in
    > rapida sequenza (una creando un account root e
    > l'altra senza nemmeno doverlo
    > fare)?

    La stessa
    maxsix
    10806
  • "
    Unfortunately, to perform the necessary repair, users have to use an advanced feature of the operating system called the Terminal and perform command line actions:

    Open the Terminal app, which is in the Utilities folder of your Applications folder.
    Type sudo /usr/libexec/configureLocalKDC and press Return.
    Enter your administrator password and press Return.
    Quit the Terminal app.

    "


    Mi chiedo se sia ironico o se sia serio.
    Se è serio vi prego sparatemi, voglio reincarnarmi non in un essere umano.
    non+autenticato
  • Secondo me è serio. Tu credi che i rincoglioniti che usano il PC facendo i simpatici con "KAFFEEEE", "CIAONE", e minchiate varie su Facebook abbiano mai aperto una finestra di terminale?
    non+autenticato
  • - Scritto da: ...
    > Secondo me è serio. Tu credi che i rincoglioniti
    > che usano il PC facendo i simpatici con
    > "KAFFEEEE", "CIAONE", e minchiate varie su
    > Facebook abbiano mai aperto una finestra di
    > terminale?

    C'è gente che ha paura di aprire il terminale perché pensa sia una porta verso l'inferno.
    non+autenticato
  • - Scritto da: Alvaro Vitali
    > - Scritto da: ...
    > > Secondo me è serio. Tu credi che i
    > rincoglioniti
    > > che usano il PC facendo i simpatici con
    > > "KAFFEEEE", "CIAONE", e minchiate varie su
    > > Facebook abbiano mai aperto una finestra di
    > > terminale?
    >
    > C'è gente che ha paura di aprire il terminale
    > perché pensa sia una porta verso
    > l'inferno.

    Quindi avrebbero la possibilita' di entrare in un luogo migliore!
    Perche' non lo fanno?
  • Ragazzi ridiamo e scherziamo quanto volete, ma io quando sento queste cose mi preoccupo.

    Mia mamma (71 anni) con Puppy sul pc del 15/18 che ha se le scrivo due comandi da dare al volo li scrive e ci riesce anche.

    Ci mette 12 giorni ma ci riesce.
    E ci mette 12 giorni solo perché non trova le lettere, non perché è rincoglionita.

    Quindi un giovane virgulto che batte sulla tastiera -probabilmente- più velocemente di me... che problemi ha?
    Che bisogno c'è di scrivere "una funzione avanzata del sistema che si chiama terminale?"

    So sad.
    non+autenticato
  • - Scritto da: Chicken

    > Che bisogno c'è di scrivere "una funzione
    > avanzata del sistema che si chiama
    > terminale?"

    Si rivolgono ad un branco di coglioni consapevoli di esserlo.

    Gente che ha il mouse con un solo pulsante.
  • Creare una paassswwwooorrrrddddddd!!!! prego. Ehm, e mi raccomando che sia di rotto!!

    ppaasswooorrrdddd!!! plegooooo.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
1 | 2 | 3 | 4 | 5 | 6 | Successiva
(pagina 1/6 - 28 discussioni)