• Home
  • macOS – bug ridicolamente pericoloso risolto

Chi mi conosce sa quanto non stimi Apple ed i suoi prodotti (certi meno di altri, sicuramente).

Prima di scrivere questa “news” ho atteso che diventasse un minimo più vecchia, per capire se davvero fosse possibile.

Ebbene, lo è. Apple a quanto pare ha rilasciato High Sierra con un bug gravissimo.


High Sierra – bug permette accesso da amministratore

Testato personalmente su virtual machine con sistema versione 10.13.1, ritengo questo il più grave bug rilasciato da tempo.

Grave per quel che permette di fare, ma anche perchè è impensabile che un’azienda così grossa possa permettersi il lusso di non testare a fondo la protezione del sistema operativo.

In sintesi, è possibile divenire root della macchina (utente amministratore, al di sopra di tutti gli altri) e quindi fare tutto ciò che si vuole con i file di qualunque utente del computer e, ancor più pericoloso, con le configurazioni del pc in questione.


Come root? Ma sarà difficilissimo riuscirci!

Ebbene no… Nel nome utente scrivi root, poi non metti password e premi enter. Premi enter su tastiera di nuovo (diciamo al secondo click su “sblocca”) e.. sei root! Diciamo che in alcune circostanze è necessario che un altro utente (qualunque) abbia effettuato il login prima, ma il succo non cambia.



Vi rendete conto della gravità della cosa?

Apple continua a sfornare porcherie che vengono iniettate nel mondo da un marketing strepitoso. Mette in vendita un sistema operativo con una falla di una gravità assurda, senza – a mia memoria – precedenti. Senza aver testato efficientemente il lato sicurezza prima di mettere in vendita il prodotto.

Non venitemi a dire che “son di parte” o “esagero come sempre”.

Stiamo parlando di utenza root accessibile senza alcuna password anche da un utente che non ha idea di cosa stia facendo. Nel 2017 direi che è a dire poco assurdo.


Soluzioni

Apple ha rilasciato il 29/11/2017 (un giorno dopo la segnalazione del bug) il Security Update 2017-001 per macOS High Sierra nelle versioni 10.13.1 e successive per risolvere il bug che permetteva di accedere ad un account amministratore senza password.

L’aggiornamento è disponibile sul Mac App Store ed ha una dimensione di circa 1.2 Mb.
Vi consiglio di scaricarlo ed applicarlo immediatamente.



Condividi: