Aggiornamento 30/11 Apple ha risolto il problema con l’aggiornamento 10.13.1

In tempo record – come ci aspettavamo vista l’entità del bug – Apple ha rilasciato un piccolo aggiornamento che risolve la vulnerabilità citata nell’articolo. Con una nota ufficiale Apple annuncia di aver corretto il problema insieme a delle scuse per i propri utenti:

“Siamo molto dispiaciuti per questo errore e ci scusiamo con tutti gli utenti Mac, sia per il rilascio del sistema con questa vulnerabilità sia per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo facendo una verifica dei nostri processi di sviluppo per evitare che ciò accada di nuovo.

Quando i nostri ingegneri della sicurezza sono venuti a conoscenza del problema martedì pomeriggio abbiamo immediatamente iniziato a lavorare su un aggiornamento che chiudesse la falla di sicurezza. Questa mattina, a partire dalle 8:00, l’aggiornamento è disponibile per il download e, a partire da più tardi nel corso della giornata, verrà installato automaticamente su tutti i sistemi con l’ultima versione (10.13.1) di macOS High Sierra. La sicurezza è una priorità assoluta per ogni prodotto Apple e purtroppo siamo inciampati in questa versione di macOS”. fonte – Ansa.it

Aggiornamento 29/11
Ecco il comunicato stampa Apple sulla vicenda

“Stiamo lavorando a un aggiornamento software per risolvere questo problema. Nel frattempo, l’impostazione di una password di root impedisce l’accesso non autorizzato al tuo Mac. Per abilitare l’utente root e impostare una password, seguire le istruzioni qui: https://support.apple.com/en-us/HT204012. Se un utente root è già abilitato, per assicurarsi che  non sia stata impostata una password vuota, segui le istruzioni dalla sezione “Modifica la password di root”.

—-Articolo Originale
La notizia che gira in queste ore potrebbe far imbarazzare Apple, infatti nella versione 10.13 macOS High Sierra si possono ottenere i permessi di amministratore utilizzando il nome utente root e nessuna password.

Questo bug si riscontra andando ad aprire la finestra di autenticazione del sistema operativo, che richiede nome utente e password di amministratore per configurare opzioni di privacy e di rete.

Basterà quindi inserire root come nome utente, lasciare la password vuota e cliccare enter. Cliccando su sblocca per alcune volte di seguito la finestra di dialogo scomparirà e ora avremo privilegi di amministratore ( root per l’appunto )

La vulnerabilità è stata scoperta dal programmatore Lemi Orhan Ergan  che con un tweet indirizzato al supporto clienti Apple ha fatto notare il piccolo “inconveniente”.

La vulnerabilità per ora è realmente pericolosa solamente se qualcuno ha accesso fisico al nostro computer, ma comunque rappresenta una minaccia se lo lasciamo incustodito.

Ovviamente la situazione non è catastrofica – non quanto una backdoor o qualche tecnica di decriptazione degli archivi almeno – ma fa sicuramente effetto quando grosse aziende si perdono in un bicchiere d’acqua come questo.

Il bug permette anche di sbloccare l’archivio di File Vault e sbloccare lo screensaver del nostro MacOS high Sierra.

La risposta di Apple non è tardata ad arrivare per approfondire la questione

Come bloccare il bug dell’utente “root” in MAcOs High Sierra

In attesa di un fix ufficiale da parte di Apple – che sarà imminente supponiamo – c’è modo di impedire l’utilizzo di questa vulnerabilità.
Infatti se abbiamo già un utente root abilitato con una password, il trucchetto della password bianca non funzionerà.
Quindi tenete l’account di amministratore attivo e impostate una password.

Di certo non è l’ultimo bug che ha interessato MacOs High Sierra dal suo rilascio. Lo scorso mese infatti gli utenti avevano fatto notare che il sistema operativo mostrava le password degli hard disk criptati e cedeva credenziali di autorizzazione anche ad applicazioni non attendibili.

Inoltre le prime versioni di MacOsX High Sierra avevano il problemino di rovinare gli hard disk degli iMac e un’altra falla rendeva le protezioni di sicurezza a livello kernel praticamente inutili.
Segnaliamo che attualmente l’ultima release di MacOs High Sierra NON sembra affetta da questa vulnerabilità.


Partecipa alla discussione