Уязвимость в macOS High Sierra позволила получить права администратора без пароля

Для активации прав «суперпользователя» нужно оставить поле пароля пустым и несколько раз нажать Enter.

2424

Вы заметили какими нехитрыми способами Apple оставляет пасхалочки «для своих»? Вроде не скажешь что это специально, всегда найдется причина для бага. В то же время баги-закладки до того тупые и с точки зрения разработки не понятно как их можно было теоретически допустить.

15
Ответить

Рынок украденных яблок – это тоже важный рынок.

2
Ответить

у меня не срабатывает, либо того типа кто-то подъебал, а он новость написал, либо кому-то выгодно писать подобные новости

11
Ответить
3
Ответить

Возможно, работает только если вы включили root юзера? Т.е. у большинства все будет ок.

3
Ответить

Работает на чистых установках.

Ответить

как его включать?

Ответить

обновился только вчера до ХС, может поправили уже, так как не работает эта тема

7
Ответить

Возможно: я обновлялся в выходные, у меня пароль рута отсутствовал.

Ответить

Это Fatality :(
 
Оставляли наверное для отладки, а потом забыли закомментировать (убрать) этот кусок в коде? Мы ведь никогда не узнаем теперь имена = из той рабочей группы, которая занималась системными вещами, ездила на всякие конференции, пыжилась и надувала щеки, ссылаясь на NDA, и прохлопала такую детскую уязвимость :(
 
А правда, почему Fatality в Mortal Kombat сложнее, чем вход по root в Mac?

1
Ответить

High Sierra вообще херня какая-то.
Мало того, что ничего нового, кроме APFS — ФС, конечно, крутая, но маки и так достаточно (очень) шустрые даже на мега-слабом железе, чтобы пользователь не заметил разницы по сравнению с прошлой ФС. А на не-эппловских контроллерах её юзать нельзя, ибо может привести к тотальному пиздецу файлов — и об этом эпол молчит.
Так ещё и эпичные баги вроде этого, или когда они перепутали поля пароля и хинта.

Макбуки обновил — разницы не увидел. Десктоп-хакинтош обновлять не буду, буду ждать 10.14, ибо толку от 10.13 нихера.

С iOS 11 та же хрень. Лагает, жрёт аккум как не в себя. Крайне нелогичный UX, например: Bluetooth после отключения от девайса в панели управления назад автоматом уже не приконнектится, зато к ёбаному вайфаю в метро цепляется сразу же, как увидит, и приходится каждый раз отключаться ручками.
С UI тоже беда: повсеместные жирные шрифты — ад, несогласованность таких банальных вещей, как отступы в системных (!) приложениях — совсем пиздец.

Такое чувство, что криворуких девелоперов и QA из команды iTunes начали в iOS/macOS перетаскивать. Ладно хоть tvOS всё ещё годнота.

5
Ответить

тут работает походу только у виндоводов. я сразу проверил на всех маках с 10.13.1 и нигде не работает, даже если перейти в поле "пароль" и нажать именно на кнопочку "Снять защиту".
Новость хайповая, кому-то выгодная.

2
Ответить

О, долбить энтер оказывается надо было несколько раз, чтобы сработало.
Реально вводишь root и долбишь энтер и всё, ты внутри.
Забираю свои слова обратно. Жесть!

3
Ответить

не сработало, наверное это только для избранных)

2
Ответить

Root выключен. При этом бага работает. P.s. кто-нибудь по инструкции от Apple (https://support.apple.com/ru-ru/HT204012) пробовал включит root и добавить пароль? У меня не получилось. Нет такого пункта: "Включить корневого пользователя"

2
Ответить

у кого "не работает" - после того, как впишете "root", нужно перейти в поле пароля, но ничего не вводить, а нажать "unblock"

2
Ответить

не работает

1
Ответить

попробовал, тоже не сработало, может не на всех работает или от модели зависит, MacBook Pro 13 последний

2
Ответить

Тоже не работает

1
Ответить

не работает

1
Ответить

не работает

1
Ответить

Еще со времен Cheetah имею привычку активировать рута с паролем. А то какой же UNIX без su.

1
Ответить

Чтоб вам далеко не ходить и для тех кто не знает как установить пароль:

Запускаем Terminal
Пишем passwd root
Спросит Old password (пустой, соответственно просто enter жмем)
Устанавливаем новый.

1
Ответить

был такой анекдот, про китайцев, сервер Пентагона и пароль "Мао Цзедун"

1
Ответить

Спасибо пацаны, ради этого я покупал макбук и ставил ХС. Правильной дорогой идём, товарищи.

1
Ответить

Проверил. Так и есть.

1
Ответить

Это по сути не уязвимость а расхлябанность пользователей которые не задают пароль для root. Сами виноваты. Эпл виноваты только в том что не заставляют этого делать

Я пробывал не раз, не работает. посмотрел стоит на root пароль. Пароль не сбрасывается как где то было описано. Все чики пуки. При первоначальном старте системы надо было задавать пароль для root'а, а не щелкать next, next

Ответить

95% пользователей macOS даже не в курсе что такое `root`.
И тут я соглашусь с Михаилом, при установке нет предложения установить пароль рута.
Эппл уже выкатило заплатку для решения проблемы, что говорит о признании этого бага.

1
Ответить

И где при первоначальном запуске диалог установки пароля на root?

Ответить

с первого дня на OS X High Sierra, не получилось зайти без пароля, не подскажите как изменить пароль на root или на источник от Apple, где написан ответ по этому поводу?

Ответить

У меня работает. В смысле воспроизводиися

Ответить

Работает.

Ответить

Эпик :D

Ответить

Бага работает

Ответить

работает!

Ответить

Уже подлатали :) https://support.apple.com/en-us/HT208315

Ответить

0day апдейт выкатили, только что в аппсторе появилось

Ответить

да как же вы не поймёте, что у Apple не багов, только фичи

Ответить