Milžiniška saugumo skylė žiojėja macOS High Sierra - kaip ją užlopyti [atnaujinta 2017-11-29]

Aptikta milžiniška saugumo spraga „macOS High Sierra“ leidžianti Mac kompiuteryje prisijungti prie administravimo teises turinčio „root“ naudotojo paskyros neįvedus jokio slaptažodžio.

Lapkričio 28 dieną, Turkijos programuotojas aptiko milžinišką saugumo saugumo spragą „macOS High Sierra“ operacinėje sistemoje: įgalintą root naudotoją ir galimybę prie šio naudotojo paskyros prisijungti neįvedant jokio slaptažodžio. Turint root teises, praktiškai nėra tokio dalyko, kurio negalėtumėte atlikti sistemoje, tame tarpe ir kitų naudotojų paskyrose. Ši saugumo spraga neaptikta „macOS Sierra 10.12.6“ ir ankstesnėse versijose.

Lapkričio 29, sekančią dieną po šios saugumo spragos paviešinimo, „Apple“ išleido atnaujinimą užtaisantį šią siaubingą sistemos skylę. Saugumo atnaujinimą 2017-001 atsisiųsti galite iš „Mac App Store“. Jei jo neatsisiųsite ir neįdiegsite — „macOS High Sierra 10.13.1“ jis bus įdiegtas automatiškai. Įdiegus atnaujinimą, sistemos „build'o“ numeris bus 17B1002.

Kai kurie atnaujinimą įdiegę „macOS High Sierra“ naudotojai pradėjo skųstis, kad jiems nustojo veikusi failų bendrinimo paslauga. Jei esate vienas tų, kuriems taip nutiko:

  • Atidarykite Terminal aplikaciją (rasite /Applications/Utilities aplanke)
  • Terminal aplikacijos lange parašykite
    sudo /usr/libexec/configureLocalKDC
    ir paspauskite return ⏎
  • Terminal“ lange įveskite kompiuterio administratoriaus slaptažodį. Atminkite, kad jį vedant ekrane nematysite ką rašote ir kad rašote, todėl veskite dėmesingai ir jį įvedę spauskite return ⏎.
  • Uždarykite „Terminal“ aplikaciją
Jei pas jūsų „Mac“ kompiuteryje įdiegta „macOS High Sierra 10.13“ ir įdiegėte saugumo atnaujinimą 2017-001, o po to, tarkim po kurio laiko įdiegėte sistemos atnaujinimą į „macOS 10.13.1“ — po šio atnaujinimo vėl reikės įdiegti saugumo atnaujinimą 2017-001 ir būtinai po to perkrauti kompiuterį, net jei to padaryti nebūsite paprašyti.

Viso šio reikalo rimtumą padidina ir tai, kad tam tikromis sąlygomis šią saugumo spragą galima išnaudoti ir prisijungus prie kompiuterio nuotoliniu būdu. „Apple“ sako jau kurianti atnaujinimą, kuris panaikins šią problemą. Reikia manyti jis pasirodys labai greitai. Kaip panaikinti šią saugumo spragą dabar, kol „Apple“ neišleido ją panaikinančio atnaujinimo:

Uždarykite galimybę prie kompiuterio prisijungti nuotoliniu būdu

Jei esate įdiegę aplikacijas leidžiančias prie kompiuterio prisijungti nuotoliniu būdu ir jos automatiškai startuoja paleidžiant kompiuterį ar prisijungiant prie kompiuterio naudotojo paskyrų: arba šias aplikacijas pašalinkite iš kompiuterio, arba neleiskite joms ar jų procesams automatiškai startuoti ir perkraukite kompiuterį.

Taip pat patikrinkite ar nesate galimybės prie kompiuterio prisijungti nuotoliniu būdu prisijungti įgalinę sistemos nustatymuose: System PreferencesSharing → patikrinkite ar kairėje pusėje nėra padėta varnelių prie Screen Sharing, Remote Login ir Remote Management

Įgalinkite root naudotoją ir apsaugokite jo paskyrą slaptažodžiu

Jei nesate įgalinę root naudotojo kompiuteryje - įgalinkite jį:

  1. Atidarykite System Preferences aplikaciją ir paspauskite ant Users & Groups (arba Accounts)
  2. Paspauskite ant spynos piktogramos.
  3. Paspauskite ant Login Options (lango kairėje esančio stulpelio apačioje).
  4. Paspauskite Join… (arba Edit).
  5. Paspauskite ant Open Directory Utility.
  6. „Directory Utility“ lange paspauskite ant spynos piktogramos ir įveskite kompiuterio administratoriaus paskyros pavadinimą ir slaptažodį.
  7. „Directory Utility“, meniu juostoje pasirinkite: EditEnable Root User ir įveskite slaptažodį, kurį norite naudoti root paskyrai ir patvirtinkite jį įvesdami dar kartą.
  8. Užrakinkite spynas ir uždarykite „Directory Utility“ ir „System Preferences“ aplikacijas.
Atminkite, kad root slaptažodis turi būti ypač sunkiai nuspėjamas. Padarykite sau paslaugą – sukurkite tinkamą slaptažodį.

Apsaugokite root vartotojo paskyrą slaptažodžiu

Jei esate įgalinę root naudotoją — apsaugokite jo paskyrą slaptažodžiu

  1. Atidarykite System Preferences aplikaciją ir paspauskite ant Users & Groups (arba Accounts)
  2. Paspauskite ant spynos piktogramos.
  3. Paspauskite ant Login Options (lango kairėje esančio stulpelio apačioje).
  4. Paspauskite Join… (arba Edit).
  5. Paspauskite ant Open Directory Utility.
  6. „Directory Utility“ lange paspauskite ant spynos piktogramos ir įveskite kompiuterio administratoriaus paskyros pavadinimą ir slaptažodį.
  7. „Directory Utility“, meniu juostoje pasirinkite: EditChange Root Password… ir įveskite slaptažodį, kurį norite naudoti root paskyrai ir patvirtinkite jį įvesdami dar kartą.
  8. Užrakinkite spynas ir uždarykite „Directory Utility“ ir „System Preferences“ aplikacijas.
Atminkite, kad root slaptažodis turi būti ypač sunkiai nuspėjamas. Padarykite sau paslaugą – sukurkite tinkamą slaptažodį.

Labiau mėgstantys „Terminal“ metodą – root slaptažodį gali pakeisti sudo passwd -u root komandos pagalba ir pradžioje nurodę kompiuterio administratoriaus slaptažodį ir po to įvedę root’ui skirtą simbolių, didžiųjų ir mažųjų raidžių bei skaičių seką, kuri bus naujas root naudotojo slaptažodis. Būtų neblogai kad jo nepamirštumėte.

Šių žingsnių reikėtų imtis iki „Apple“ išleis atnaujinimą skirtą užlopyti šiai milžiniškai sistemos skylei. Po to kai tą „Apple“ atnaujinimą įdiegsite — root naudotojo paskyrą galėsite atjungti (jei „Apple“ atnaujinimas to nepadarys automatiškai).

Apytikslis skaitymo laikas – 4 minutės.
Pasidalinti straipsniu:

Apie Ramūną Blavaščiūną

Fotografijos, geros technikos ir kavos mylėtojas, didelę savo laisvalaikio dalį skiriantis straipsnių „Mac Arena“ rašymui.

Komentarų: 11 | Ačiū, kad rašote lietuviškai

  1. Ubuntu turbut saugesnis jau nei Mac OSSSSSS

  2. Debilai, sorry, bet kito žodžio apibudinti nerandu.

  3. Na va kaip gerai kad dar neupdeitinau i High Sierra. Kazkada juokemes is Windows ir profesionalai rekomaduodavo Windows instaliuoti tik kai pasirodydavo Service Pack 2, tai dabar su macos taspats, tik po antro rimto atnaujinimo galima instaliuotis nauja macos

  4. Windows XP lygis, jau neskaitant kad icloud kiauras ir visas nuotraukas leakina, tai ir OS kiaura.
    Pro useriai naudoja Linux arba Windows ir nieko čia nepakeisi.

    • iCloud nuotraukas leakina tiems pas ką slaptažodis „peter123“ ir jis toks pats ir kitoms to paties veikėjo paskyroms.
      Kas link Pro, tai žiūrint kokios srities tas naudotojas yra Pro. Vis daugiau kompiuterių naudotojų pradeda naudoti Mac, tame tarpe ir įmonėse. Prie Linux'o kaip darbo stoties dažniausiai pereina (gal negražiai čia pasakysiu, bet) vos galą su galu suduriantys „Pro“ naudotojai.

      • Na, jei žmonės dirba su Linux, manau nesunkiai gali ir hackintosha pasikurti, kuris duos į kaulus native Mac'ams. Ir aš dar kartą pasikartosiu, Pro useriai nenaudoja Mac.
        Kadangi aš dirbau retail srityje, tai galiu užtikrinti. Jei yra pasirinkimas Thinkpad ar MBP, 8 iš 10 atvėjų bus Thinkpad. Kitas pavyzdys MbAir vs Zenbook, deja šį kartą korta ne Apple rankose.
        Ps. pro mano rankas yra praėja tiek Apple laptopų, kad Tau dar toli šnekėti apie rinkos situacija LTU.
        Ps.s. Rimtose įmonėse, +5kk euro, Mac'us naudoja PR ir HR skyriai. Tie kas realiai uždirbinėja pinigus renkasi Dell, HP, Lenovo. :)

Parašykite komentarą

Jūsų elektroninio pašto adresas nebus viešinamas. Būtini laukai pažymėti *

*