macOS High Sierra: grave bug permette l'accesso al sistema a chiunque. Ecco come correggerlo [AGG. Risolto il problema]

macOS High Sierra: grave bug permette l'accesso al sistema a chiunque. Ecco come correggerlo [AGG. Risolto il problema]

Individuata una grave falla nel sistema operativo di Apple per i Mac. in macOS High Sierra 10.13.1 è possibile accedere alle impostazioni del sistema indicato ''root'' come nome utente e senza password. (AGG. Apple rilascia un aggiornamento per risolvere il problema)

di pubblicata il , alle 09:55 nel canale Apple
ApplemacOS
 

AGGIORNAMENTO ore 18: Apple ha appena annunciato di aver risolto il problema e aver rilasciato un aggiornamento capace di mettere in sicurezza tutti i Mac. Ecco il comunicato ufficiale:

La sicurezza è una priorità assoluta per ogni prodotto Apple e purtroppo siamo inciampati in questa versione di macOS.
Quando i nostri ingegneri della sicurezza sono venuti a conoscenza del problema martedì pomeriggio, abbiamo immediatamente iniziato a lavorare su un aggiornamento che chiudesse la falla di sicurezza. Questa mattina, a partire dalle 8:00, l'aggiornamento è disponibile per il download e, a partire da più tardi nel corso della giornata, verrà installato automaticamente su tutti i sistemi con l'ultima versione (10.13.1) di macOS High Sierra.
Siamo molto dispiaciuti per questo errore e ci scusiamo con tutti gli utenti Mac, sia per il rilascio [del sistema] con questa vulnerabilità sia per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo facendo una verifica dei nostri processi di sviluppo per evitare che ciò accada di nuovo.

--------------------------------------------------------------------------------------------------------------

AGGIORNAMENTO: Apple ha appena rilasciato un comunicato in cui afferma di essere già a lavoro per risolvere il problema. Ecco il comunicato: 

"Stiamo lavorando a un aggiornamento software per risolvere questo problema. Nel frattempo, l'impostazione di una password di root impedisce l'accesso non autorizzato al tuo Mac. Per abilitare l'utente root e impostare una password, seguire le istruzioni qui: https://support.apple.com/en-us/HT204012. Se un utente root è già abilitato, per assicurarsi che  non sia stata impostata una password vuota, segui le istruzioni dalla sezione "Modifica la password di root".
--------------------------------------------------------------------------------------------------------------

Pericoloso il bug che affligge la versione 10.13.1 di macOS High Sierra e che permette di ottenere i permessi di amministratore utilizzando semplicemente come nome-utente "root" e senza dover immettere alcuna password. Apple, sembra aver rilasciato la nuova versione del suo sistema operativo per i Mac con la presenza di questa grave falla scoperta da Lemi Orhan Origin e pubblicata su Twitter.

Il bug si presenta nel momento in cui si apre la finestra di autenticazione del sistema operativo del Mac nella quale sono presenti le richieste di nome utente e password dell'amministratore. In questo caso basterà porre come nome utente la parola root e senza inserire alcun tipo di password si avrà automaticamente accesso completo al sistema con i privilegi di amministratore.

Chiaramente la pericolosità del bug è tale se qualche utente, al di fuori del proprietario, ha accesso fisicamente al Mac. Dunque fino al momento del rilascio di un nuovo aggiornamento da Apple tale da correggere la falla è meglio non lasciare incustodito il Mac oppure seguire alcuni passaggi per porre, almeno momentaneamente, il device da occhi e "mani" malevole. Ricordiamo come l'utente "root" sia effettivamente un utente capace di disporre di privilegi di scrittura e lettura in più aree del sistema compresi i file contenuti in altri account utente di macOS.

Come bloccare l'accesso dell'utente "root" in macOS? Al momento l'unico modo per permettere il non accesso ad utenti non proprietari è abilitare l'utente root e cambiare la password per quest'ultimo. Le istruzioni per farlo sono quelle dettate da Apple ossia:

  1. Scegli menu Apple (icona della Mela) > Preferenze di Sistema, quindi fai clic su Utenti e Gruppi (o Account).
  2. Fai clic sul lucchetto, quindi inserisci il nome e la password di un amministratore.
  3. Fai clic su Opzioni login.
  4. Fai clic su Accedi (o Modifica).
  5. Fai clic su Apri Utility Directory.
  6. Fai clic sul lucchetto nella finestra Utility Directory, quindi inserisci il nome e la password di un amministratore.
  7. Dalla barra dei menu in Utility Directory:
    • Scegli Modifica > Abilita utente root, quindi inserisci la password che desideri utilizzare per l'utente root.
    • Oppure scegli Modifica > Disabilita utente root.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

53 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
canislupus29 Novembre 2017, 10:04 #1
Da possessore di un macbook air aggiornato da pochi giorni a MacOs High Sierra direi che è proprio una bella notizia (sono ironico).
Mi sembra un errore non di poco conto e andrebbe dato il giusto risalto alla notizia in quanto si tratta di un problema di una gravità estremamente elevata.
Spero che non ci siano fanboys che vogliano giustificare una simile mancanza.
cciullo29 Novembre 2017, 10:05 #2
...troppi passaggi per l'utente apple medio
MikTaeTrioR29 Novembre 2017, 10:06 #3
ma porco cacchio...stanno andando alla deriva...Dio non voglio tornare a lavorare con Win...rinsavite maledetti marchettari! Ormai solo le marchette sapete fare!!! buuuuuuu
recoil29 Novembre 2017, 10:15 #4
Originariamente inviato da: MikTaeTrioR
ma porco cacchio...stanno andando alla deriva...Dio non voglio tornare a lavorare con Win...rinsavite maledetti marchettari! Ormai solo le marchette sapete fare!!! buuuuuuu


mi ricordi quell'americano che ha scritto "10 anni fa compravo il Mac proprio per evitare questo genere di cose"

è assurdo come abbiano lasciato poco spazio al Mac anche dal punto di vista del software, eppure sono enormi non hanno bisogno di spostare risorse da macOS a iOS e se proprio devono cosa gli impedisce di assumere altra gente per gestire quella linea? è una parte "piccola" del loro fatturato ma in termini di numeri è comunque grande e merita attenzione e considerazione da parte loro
meno male che Tim dice sempre che il mac è "very important to us"
come no...
Phoenix Fire29 Novembre 2017, 10:18 #5
da utente apple dico che veramente stanno perdendo troppo in qualità, il problema in se non è grave come vulnerabilità (accesso fisico e Mac sbloccato non sono cose da poco) ma un errore del genere è comunque segno di scarso controllo in alcune parti del codice
polkaris29 Novembre 2017, 10:21 #6
Da non crederci!!! Comunque normalmente i mac vengono configurati con un solo user con privilegi di amministratore, quindi il bug conta poco.
emiliano8429 Novembre 2017, 10:30 #7
il macos piu' sicuro di sempre ... piu' guadagnano market share e piu' si scoprono vulnerabilita'
oatmeal29 Novembre 2017, 10:31 #8
Io mi auguro davvero che stiano progettando qualcosa di nuovo e che quindi stiano destinando risorse alle novità future. E’ l’unica spiegazione che riesco a darmi per “giustificare “ una cazzata del genere
emiliano8429 Novembre 2017, 10:36 #9
divertente legere come i commenti siano diversi se invece di mac os fosse stato windows
canislupus29 Novembre 2017, 10:39 #10
da utente apple dico che veramente stanno perdendo troppo in qualità, il problema in se non è grave come vulnerabilità (accesso fisico e Mac sbloccato non sono cose da poco) ma un errore del genere è comunque segno di scarso controllo in alcune parti del codice


Beh diciamo che può non essere considerata una vulnerabilità in senso stretto, ma in ogni caso è una falla non da poco.
Non è normale lasciare un utente ammistrativo standard senza una password e non bisogna trovare giustificazioni ad un errore così importante.
Noi siamo prima di tutto consumatori ed utenti che PAGANO per un prodotto e non azionisti.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^