Cette page a été traduite en utilisant l'IA et l'apprentissage automatique.

Un énorme trou de sécurité affectant les ordinateurs Mac exécutant la dernière version de macOS High Sierra a été découvert.

C' est un bug critique qui permet à quiconque sur un Mac de se connecter et de modifier les paramètres d'administration - en utilisant simplement le nom d'utilisateur « root » sans mot de passe, selon le développeur Lemi Ergin, qui a repéré le bug sur 28 novembre. Pour le tester, essayez d'accéder au compte d'un administrateur sur un Mac déverrouillé, puis l'écran de connexion verrouillé de ce Mac après le redémarrage.

Voici tout ce que vous devez savoir sur le bug, y compris qui en est affecté et s'il y a encore un correctif.

Comment tester le bug High Sierra 'root'

Cet exploit ne nécessite pas de compétences majeures de piratage. Et, une fois entré, vous pouvez contrôler toutes les fonctions d'administration et modifier vos propres autorisations. Par exemple, vous pouvez vous accorder des privilèges d'administrateur ou configurer de nouveaux comptes de niveau administration ou tout ce que vous souhaitez.

Si vous essayez d'accéder au compte d'un administrateur :

  1. Ouvrez Préférences système.
  2. Sélectionnez Utilisateurs et groupes.
  3. Cliquez sur le verrou dans le coin.
  4. Dans le champ de connexion, tapez « root » comme nom d'utilisateur.
  5. Accédez au champ Mot de passe, mais laissez-le vide.
  6. Cliquez sur Déverrouiller.
  7. À ce stade, vous devriez avoir un accès complet.

Il permet également à quiconque de se connecter à une machine immédiatement après le redémarrage :

  1. Sur l'écran de connexion, cliquez sur « Autre ».
  2. Entrez à nouveau « root » sans mot de passe.
  3. À ce stade, vous devriez avoir un accès administrateur complet à partir de l'écran de connexion verrouillé.
  4. Depuis le compte, vous pourrez tout voir sur le Mac.

Qui est affecté par le bug « racine » de High Sierra ?

Ceux d'entre nous à Pocket-Lint qui exécutent des versions plus anciennes du système d'exploitation macOS n'ont pas pu répliquer le bogue. Nous mettons à jour nos machines et nous en rendrons compte. Cependant, plusieurs utilisateurs sur Twitter, qui exécutent la version actuelle, macOS High Sierra 10.13.1 et macOS 10.13.2 bêta, ont dit qu'ils étaient en mesure de la répliquer.

Ainsi, le problème semble exister dans les versions suivantes de macOS :

  • MacOS High Sierra 10.13.0
  • MacOS High Sierra 10.13.1
  • MacOS High Sierra 10.13.2 bêta

Comment réparer le bug High Sierra 'root' Correction

permanente

Apple a publié une mise à jour de sécurité, appelée Mise à jour de sécurité 2017-001, pour les machines Mac exécutant MacOS High Sierra 10.13.1 et versions ultérieures. Ceci est un correctif pour le bug critique qui permet un accès administrateur complet - avec juste 'root' comme nom d'utilisateur et un mot de passe vide - sur n'importe quel Mac exécutant MacOS High Sierra. La mise à jour est déployée sur le Mac App Store maintenant pour les utilisateurs de MacOS High Sierra. Nous vous suggérons de l'installer immédiatement.

Solution temporaire

Avant de publier la mise à jour de sécurité le 29 novembre, Apple a dit à Pocket-Lint que la définition d'un mot de passe racine empêche l'accès non autorisé à votre Mac. Pour activer l'utilisateur racine et définir un mot de passe, suivez les étapes de cette page de support. Si un utilisateur racine est déjà activé, Apple a dit que vous devriez toujours vous assurer qu'un mot de passe vide n'est pas défini en suivant les étapes de la section « Modifier le mot de passe racine » de sa page de support.

Comment cela a-t-il pu arriver ?

C' est une bonne question, considérant que la sécurité devrait être une priorité absolue pour chaque entreprise. Cependant, Apple a admis qu'il a trébuché avec cette version de macOS High Sierra. Ses ingénieurs de sécurité ont pris conscience du problème le 28 novembre et ont immédiatement commencé à travailler sur la mise à jour qui a fermé le trou de sécurité, nous a dit Apple. Il a également promis de vérifier son processus de développement pour éviter que cela ne se reproduise.

« Nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour la publication avec cette vulnérabilité et pour la préoccupation qu'elle a causé », a déclaré Apple dans une déclaration.