聚能聊有奖话题:
https://yq.aliyun.com/roundtable/61784
最新的Mac OS系统(macOS High Sierra)中藏有一个巨大Bug。
据CNET报道称,苹果最新的macOS系统出现严重漏洞,用户仅输入“root”作为用户名即可进入系统,而所设置的密码都是无效的。它允许任何人物理访问笔记本电脑或桌面可以访问,更改或删除系统上的个人文件,而无需任何登录凭据。
在极端情况下,有人可能在没有主人知道的情况下安装恶意软件,包括按键记录软件来捕获个人信息。
具体操作是,用户只需进入“系统偏好”设置,选择“用户和组”,点击解锁按钮,这时会弹出一个提示框要求输入用户名和密码才能变更设置。接下来,只需在用户名一栏中输入“root”,密码不用填,多次点击解锁后即可成功进入系统。
目前,苹果公司表示已经修补了这个漏洞,并附上了一个如何解决这个漏洞的指南。 一位发言人说:“安全是每个苹果产品的重中之重,遗憾的是我们在这个macOS版本栽了跟头。”
周二晚上听到安全漏洞问题后,公司开始进行更新以弥补安全漏洞。 它将自动推送给用户。
“我们对这个漏洞感到非常遗憾,我们向所有的Mac用户表示歉意,无论是为了发布这个漏洞,还是为了引起他们的关注,我们的客户应该得到更好的回报。我们正在审核我们的开发流程,以防止这种情况再次发生。”
安全专家将此错误描述为“巨大”和“非常令人惊讶”。
发现故障的土耳其开发者Lemi Orhan发现,通过输入“root”这个词作为用户名,并输入两次,而不必输入密码,就可以破解Mac登录屏幕。
Orhan昨天晚上在Twitter上向苹果公司提出了这个问题。他写道:“亲爱的@AppleSupport,我们注意到MacOS High Sierra存在一个‘巨大的’安全问题,任何人都可以在登录界面输入几次root后,用空密码就可登录进去,@Apple你知道它吗?”
安全公司Webroot分析师泰勒·莫菲特(Tyler Moffitt)表示:“这是一个非常令人吃惊的错误,它无视了MacOS High Sierra的质量控制。显然,这也适用于MacOS上的FileVault,这使得这个bug非常具有破坏性。”
软件开发人员Orhan,因为公开披露而面临批评,后来被转发了数十万次。
通常情况下,发现漏洞的开发人员会提前通知公司,然后再允许一段时间在上市前解决问题。 这阻止了犯罪分子利用安全漏洞。 苹果有自己的专门的错误奖金计划,黑客可以直接提交故障。
看来只有那些更新到最新操作系统的人才会受到影响。
