Súlyos biztonsági hibát találtak az Apple gépeken

Új, meglehetősen komoly hibát fedeztek fel az Apple High Sierra névre keresztelt operációs rendszerében (MacOS), amit a kaliforniai cég által gyártott számítógépek, laptopok, notebookok döntő jó részén fut egy ideje, amióta kijött a rendszerfrissítés, írja az Apple Insider. A hírről szinte az összes szaklap és IT-portál beszámolt, mivel a jelek szerint elég könnyen kihasználható biztonsági résről van szó.

A hiba lehetővé teszi, hogy bármilyen kezünk ügyébe kerülő Apple-gép, mondjuk egy MacBook pro vagy egy Air, fölött átvehessük az irányítást adminként, anélkül, hogy tudnánk bármiféle jelszót. A hibáról egy Twitter üzenetben tett jelentést egy szoftvermérnök, aki szerint egy ártó szándékú felhasználónak nincs más teendője, mint a “Rendszerbeállítások” egyik szekciójában, a hitelesítés lakat ikonjára kattintva a felugró bejelentkező ablakban “root” azaz adminisztrátori felhasználónévvel unlockolni a gépet, úgy hogy jelszó megadása nélkül párszor rákattint a belépés gombra.

Mihelyst a rendszer elfogadja a belépési szándékot, szabad a pálya: power userként azt lehet tenni a megkaparintott géppel, amit akarunk, mindenhez szabad hozzáférést kaptunk ezzel a lépéssel.

A biztonsági hiba a High Sierra összes verziójában fennáll, még a kedden kiadott Beta 5-ben is. Kihasználni csak úgy lehet, ha valaki fizikailag hozzáfér a géphez (azaz ott ül előtte), vagy az Apple szoftverével távoli kapcsolatban van vele (Remote Access). Arra is szükség van, hogy valaki saját felhasználói profiljával be legyen aktívan jelentkezve, a jelszó nélküli “root” teljhatalmú felhasználót csak így lehet legenerálni.

A biztonsági hiba ellen lehet védekezni: egyfelől érdemes letiltani a “Vendég” (Guest) belépési profilt, másrészt a rendszerbeállításokban, a Címtársegédprogramban letiltani a root felhasználót, vagy pedig megadni egy működő jelszót, ugyanis sok esetben, ha engedélyezve van a root felhasználó, nincs hozzá megadva jelszó, és ez az alapja a biztonsági résnek. Fontos, és megnyugtató tudnivaló, hogy a gép indításakor megjelenő login képernyőről nem lehet root felhasználót generálni.

Az Apple közleményben reagált a biztonsági hibával kapcsolatos hírekre, mint írják, dolgoznak a javításon, és azt javasolják, hogy mindenki állítson be saját jelszót a roothoz ha nincs megadva, vagy ha igen, akkor változtassa meg azt. Mindehhez itt adnak instrukciókat.

Frissítés: közben kiadtak egy hibajavító frissítést, és ennek a telepítéséhez is írtak egy újabb útmutatót.