Кажется, Apple забыла закрыть одну маленькую, но серьезную «брешь». Любой может стать администратором в macOS High Sierra без ввода пароля.
Как это работает
Любой пользователь может стать «суперпользователем». У него есть права на внесение любых изменений в настройки компьютера.
Работает схема просто. В разделе нажмите на значок замочка. У вас запросят логин и пароль, необходимо ввести root (имя пользователя) и оставить пустой графу .
После этого несколько раз нажимаем «Ввод», и всё. У вас права владельца системы.
Пользователь Twitter под ником @lemiorham отметил, что уязвимость доступна даже в последней бета-версии macOS High Sierra.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Работает данная фишка только в интерфейсе операционной системы. В Терминале за root не получится залогиниться.
Как этого избежать
Решение проблемы такое же простое, как и её появление. Необходимо установить пароль на учётную запись root.
Шаг 1. Перейдите в меню .
Шаг 2. Щёлкните по значку замка, введите имя и пароль администратора.
Шаг 3. Нажмите .
Шаг 4. Выберите .
Шаг 5. Щелкните значок замка в окне , повторно введите имя и пароль администратора.
Действия в строке меню :
Выберите и введите пароль для юзера root.
В этом же разделе пользователя root можно отключить.
Есть и второе решение. Набираем в Терминале команду и вводим пароль для суперпользователя.
Источник: