新浪科技讯 北京时间 11 月 29 日凌晨消息,苹果公司最新的 macOS 系统出现严重漏洞,用户仅输入“ root ”作为用户名即可进入系统,这意味着你不需要密码即可解锁进入一台安装了 macOS High Sierra 系统的苹果电脑。
全文: https://tech.sina.cn/it/2017-11-29/detail-ifypceiq5637306.d.html?wm=3049_0015
1
neosfung 2017-11-29 10:01:39 +08:00 3
为苹果这个良心企业点赞啊,让大家都学习到这么多操作系统的知识
对不起,我这个果粉都编不下去了 |
2
ryan717 2017-11-29 10:03:55 +08:00
试了一下,没法这样解锁啊
|
3
ryan717 2017-11-29 10:05:47 +08:00
原来我之前已经禁用访客了
|
4
lp10 2017-11-29 10:07:32 +08:00
root 密码是空的,去 Directory Utility 里面重设一下就好了
|
5
tagtag 2017-11-29 10:07:50 +08:00 2
确实可以,第一遍 root 输入任意密码,提示错误后删掉密码,直接 root 登陆,登陆成功,shit
|
6
x86 2017-11-29 10:08:53 +08:00
根据 9To5Mac 建议,在苹果解决这个“ root ”问题之前,用户还是有规避此问题的方法,只需关闭访客账户即可。来自 Electronic Frontier Foundation 的 Kurt Opsahl 也提出了一个解决办法,即创建一个用户名为“ root ”的用户并给这个用户设置密码,这样就不会出现上述问题了
|
8
jtshs256 2017-11-29 10:09:31 +08:00 via iPhone
升 PB 的时候确实 root 自动给启用了…还得自己去禁用…
|
9
liz2nku 2017-11-29 10:11:00 +08:00 via iPhone
还好我是 os x 用户
|
10
byuan04 2017-11-29 10:14:41 +08:00 1
这都第几次了重大安全问题了....
之前提示框直接显示密码.. 这次更加直接...密码都不用了... |
11
tagtag 2017-11-29 10:18:39 +08:00
sudo passwd root 设置一个密码或者
spotlight/Alfred->目录实用工具->解锁后在编辑中禁用 root |
12
xuanboyi 2017-11-29 10:28:02 +08:00 via iPhone
访客一直禁用,想不明白苹果莫名其妙总会升级后自己打开访客,root 默认是禁用的吗?
|
13
jason19659 2017-11-29 10:30:13 +08:00
我的不行。。
|
14
goodryb 2017-11-29 10:37:21 +08:00
测试不行,禁用过访客账户
|
15
panlilu 2017-11-29 10:42:21 +08:00
花擦,傻逼了,直接 root 进来啥都能用了
|
16
hekunhotmail 2017-11-29 10:43:58 +08:00
试了一下,没法这样解锁啊
|
17
469054193 2017-11-29 10:50:29 +08:00
羡慕有苹果电脑的
|
18
hekunhotmail 2017-11-29 10:51:45 +08:00
1 输入 root
2 点击密码框 3 回车或者点击解锁 |
19
zjuster 2017-11-29 10:52:32 +08:00
访客我一直是禁止的。。。感觉侥幸了。
|
20
hekunhotmail 2017-11-29 10:55:16 +08:00
@zjuster 禁止访客没用 按我说的步骤重现, 妥妥的
|
21
tagtag 2017-11-29 10:56:03 +08:00
@hekunhotmail 确实禁用访客没用
|
22
fadaixiaohai 2017-11-29 10:58:50 +08:00
真能解锁
|
23
tyhunter 2017-11-29 10:59:47 +08:00 1
尝试了下,禁用访客账户后问题仍然存在
只能 11L 下面这个方法中的第一个,给 Root 加密码,第二个方法我没找到 root 账户 sudo passwd root 设置一个密码 |
24
QAPTEAWH 2017-11-29 11:01:00 +08:00
比烂大赛苹果再得一分
|
25
wkan 2017-11-29 11:01:42 +08:00 via iPhone
抹盘重装的表示不行
|
27
tyhunter 2017-11-29 11:03:56 +08:00
@jtshs256 我怀疑也是升 PB 时被自己启用了
看到 25L@wkan 说抹盘重装不行,我当初装 10.13 是抹盘的,但是升级到 10.13.1 是通过 PB 升级上来的 |
28
p2pCoder 2017-11-29 11:05:06 +08:00
这 bug 真刺激
|
31
ZRS 2017-11-29 11:08:26 +08:00
比较好奇以前的版本中存在这个问题吗 有没有还没升级试试的
|
32
douglas1997 2017-11-29 11:11:10 +08:00
@p2pCoder 这 bug。。全是安全问题,真是受不了 Cook 了
|
33
jtshs256 2017-11-29 11:11:23 +08:00 via iPhone
@tyhunter 可能“升级”是触发条件,不一定是 PB 的问题…提到 PB 只是想说这个问题已经存在很很很久了竟然到现在才被扒出来…
|
34
kikyous 2017-11-29 11:13:34 +08:00 via Android
用户体验 max
|
35
tagtag 2017-11-29 11:17:43 +08:00 1
近几年 Apple 对 macOS 的维护可以说是相当不上心了,本次更新除了 APFS 之外没什么特别的 feature,似乎是人手不够都投入在 iOS 上面了。
|
36
b821025551b 2017-11-29 11:19:03 +08:00
@ZRS #31 10.12.4 用户表示一切安好。
|
37
Mirage09 2017-11-29 11:28:02 +08:00 via iPhone
真的是...这都第几次了,还都是这么让人无语的问题
|
38
xuanboyi 2017-11-29 11:28:25 +08:00 via iPhone
|
39
ynyounuo 2017-11-29 11:52:21 +08:00 via iPhone
lol 感觉就像当年 Windows shift 粘滞进 system 权限一样
不过说过来,有点意识的话都会禁访客和加 root 密码的。这锅倒是苹果过一定得背。 |
40
sobigfish 2017-11-29 11:56:33 +08:00
呃 试过了 禁用 root 不管用, 再次输入 root 还是会被打开
只有给 root 设置密码,!再点禁用相当于密码也被清空了! |
41
zj299792458 2017-11-29 12:02:47 +08:00 via iPhone
这个根本不是解锁界面,只是解锁设置,不知道你们说的解锁电脑是什么意思?锁屏情况下可以自己输入用户名 root ?
|
42
clearbug 2017-11-29 12:10:03 +08:00 via Android
大公司都不甘寂寞啊,总想是不是来个大新闻
|
43
kingcos 2017-11-29 12:21:05 +08:00 via iPhone 1
macOS 自暴自弃,MacBook 也特么……
真无力吐槽…就做个电脑和手机,一年就那么几款,还做不好…都去修新园区了嘛?! 实在是气… |
44
atone 2017-11-29 12:23:26 +08:00
大家不要慌,苹果的 QA 部门正在忙着往新园区搬家呢,等他们搬完了,一定就好了!😅
|
46
est 2017-11-29 12:30:36 +08:00 1
|
48
sobigfish 2017-11-29 12:35:39 +08:00
@zj299792458 理论上可以解锁就可以登录,开了远程的话就可以用 ssh 了
|
50
qsnow6 2017-11-29 12:39:14 +08:00 via iPhone 1
老祖宗留下来的财产要败光了
|
51
viator42 2017-11-29 12:44:27 +08:00 via iPhone
大厂的软件也是越做越糙
|
52
chyiz 2017-11-29 12:58:46 +08:00
这新闻还在提访客账户……
!禁用访客账户没用! 一开始大家以为这个漏洞只会在提权的对话框出现,所以觉得禁用访客账户就行了。但是现在已经验证了登陆界面也有这个 bug !所以一定要改 root 密码! !禁用 root 用户也没用! 这个漏洞不是苹果忘了禁用默认的 root 账户,而是你尝试用 root 登陆,系统发现账号没启用,会自动启用,并且设置空密码。所以现在只能保持 root 启用,设一个复杂密码。 |
53
zhlvting 2017-11-29 13:04:23 +08:00
试了一下,先在目录实用工具里看了,root 用户是未开启的,然后在解锁界面,用 root 加空密码第一次登录时,不成功,但是貌似这个操作启用了 root 用户,第二次登录时就解锁成功了。然后再去目录实用工具里看,root 用户是开启的。看来只有改 root 密码的方法管用。
|
54
tagtag 2017-11-29 13:10:16 +08:00
@tyhunter 经测试不能使用停用 root 的方法,非但不管用还会清空之前设置的密码(无语😓),只能启用 root 并添加密码。。。
|
55
FaiChou 2017-11-29 13:13:43 +08:00
吓得我买了个三环锁
|
58
zzNucker 2017-11-29 13:22:12 +08:00
笑死我了
|
59
FaiChou 2017-11-29 13:23:00 +08:00
https://twitter.com/reneritchie/status/935627307565355014
这里有个视频介绍如何防止此漏洞带来损失方法!!! <img src="http://o7bkcj7d7.bkt.clouddn.com/markdown/1511932870461.png" width="668"/> <img src="http://o7bkcj7d7.bkt.clouddn.com/markdown/1511932913808.png" width="541"/> <img src="http://o7bkcj7d7.bkt.clouddn.com/markdown/1511932949230.png" width="499"/> 然后设置上密码。 done |
60
FaiChou 2017-11-29 13:23:28 +08:00
|
61
NG6 2017-11-29 13:23:51 +08:00
26 版有、没
|
63
jiao1998 2017-11-29 13:33:50 +08:00
还真的有这个问题,第一次 root 随便输入密码 提示失败,删了密码再登录,就进来了……
我看有人说是 PB 版本的问题,我从来没用过 PB,也是这个问题。 看来真的得给 root 弄个密码去了 这漏洞太扯淡了 |
64
FaiChou 2017-11-29 13:35:54 +08:00
图片加不上。。 还是参考我的微博吧。
https://weibo.com/2949335311/FxjU9xqUE?type=comment#_rnd1511933679986 |
65
AZLisme 2017-11-29 13:38:14 +08:00
为什么我怎么尝试都没有。我是 macOS High Sierra。
root 用户无法解锁系统啊 |
67
ideascf 2017-11-29 13:46:26 +08:00
惊喜啊
|
68
fishg 2017-11-29 13:50:54 +08:00
有 bug 多正常的事
|
69
zj299792458 2017-11-29 13:53:43 +08:00 via iPhone
@hekunhotmail 两台 mac 都不行……这是在哪解锁的?
|
70
timeisweapon 2017-11-29 13:59:48 +08:00
root 有密码也不行,要重设 root 密码
|
71
icyalala 2017-11-29 14:00:22 +08:00
蠢得不行的 bug。。。哈哈哈。。。
|
72
liuzhedash 2017-11-29 14:07:53 +08:00
@hekunhotmail #18
可以 确实是这样 |
73
Errpt 2017-11-29 14:31:13 +08:00
登录界面上如果是用户列表,不让用户填写用户名应该就没法突破了吧。
|
74
mcfog 2017-11-29 14:48:48 +08:00 1
@Errpt
1. 物理接触你电脑的人可以 2. 如果你开了远程桌面的话可以 3. 最重要的是,因为可以通过 applescript 做到一样的事情,所以任何软件都可以 osascript -e 'do shell script "id" with administrator privileges user name "root" password ""' |
75
yeeli 2017-11-29 14:49:38 +08:00
第一次会失败, 多点几次就成功了
|
76
crayhuang 2017-11-29 15:00:30 +08:00
真的能解锁~ 厉害了
|
77
palxex 2017-11-29 15:03:08 +08:00
这个真重复不出来。楼上的 applescript 报 0:79: execution error: 管理员用户名或密码不正确。 (-60007)
|
78
nasaboy 2017-11-29 15:08:14 +08:00
等更新了
|
79
hljjhb 2017-11-29 15:08:36 +08:00
这个 BUG 真的是太蠢了 笑得不行
|
80
7colcor 2017-11-29 15:16:16 +08:00
|
81
grayon 2017-11-29 15:57:11 +08:00
发现在未启用 root 帐号的情况下,用 root 解锁,会自动开启 root 帐号,并把当前输入的密码设置为 root 帐号的密码
如果是启用状态才会验证密码 所以目前的解决方案是开启 root 帐号并设置密码 https://support.apple.com/kb/PH6515?locale=zh_CN&viewlocale=zh_CN 对比之前的系统,在验证权限时密码错误的情况下慢了很多,不知是不是有未关闭的 debug 逻辑 |
82
zcwlwen 2017-11-29 16:03:11 +08:00
我设置过 root 密码了
|
83
mcfog 2017-11-29 19:07:09 +08:00 via Android
@palxex 第二次就解开了,bug 就在第一次报失败后会自动启用 root 用户且密码置空。gui 或者 cli 症状是一样的都是失败一次后第二次成功
|
84
princesslovelove 2017-11-29 19:19:05 +08:00 via iPhone
为什么我的不行,有什么秘诀吗? Version 10.13 ,guest off。
|
85
qfdk 2017-11-29 19:34:53 +08:00 via iPhone
humm 去天才吧 去试试 rm - rf / chmod -R 666 /
|
86
nine99 2017-11-29 19:36:15 +08:00
apple 越来越垃圾了
|
87
7zki 2017-11-29 19:46:33 +08:00
我来大概总结一下
单独禁用访客用户是不行的, 还是可以用 root 访问; 所以参考楼上几位的解决方法 1: 禁用访客 2:sudo passwd root 3:Spotlight 搜索目录实用工具,解锁,然后选择菜单栏的编辑,禁用 root 用户。 实测经此方案,root 无法登陆。 macOS 10.13.1 |
88
colorfulberry 2017-11-29 19:49:44 +08:00
我曾经给 root 设置了密码的,进不去哈哈哈哈
|
89
7zki 2017-11-29 20:00:58 +08:00
看到楼上有 V 友说用 root 账户登陆失败后系统会启用 root 账户,我重启了一次重新用 root 登陆,无法登陆。
但是进入系统后发现 root 又被启用了,我禁用后,重启了几次,root 无法登陆,但是这几次进系统后 root 没有被启用。 无法复现第一次的情况了,奇怪。 |
90
oxoxoxox 2017-11-29 20:04:57 +08:00
10.13 复现不了
是不是只有 10.13.1 才有这个 bug 啊? |
91
puritania 2017-11-29 20:39:46 +08:00
能不能把阿三程序员全给开了? 废物
|
93
weixiangzhe 2017-11-29 22:43:51 +08:00 via iPhone
等出 14 在升 13
|
94
xrlin 2017-11-30 00:17:47 +08:00
与 bug10 并驾齐驱了。
|
95
mcfog 2017-11-30 00:19:00 +08:00 via Android
@7zki 就我白天的测试来看,禁用 root 后(无论之前是否设密码)再在解小锁的输入框里用 root 空密码 /osascript 尝试一次 root 空密码后虽然会第一次会失败,但 root 账户会被打开,再试一次就又拿到 root 权限了,访客是禁用的
|
96
mcfog 2017-11-30 00:20:30 +08:00 via Android
@7zki 不是切换用户用 root 登录,而是解小锁的提权界面用户名改成 root,或者用我上面贴的 applescript
|
97
xy90321 2017-11-30 00:32:03 +08:00
|
98
OscarUsingChen 2017-11-30 01:02:38 +08:00
|
99
liuminghao233 2017-11-30 01:09:13 +08:00 via iPhone
这个是 feature
|
100
sunyang 2017-11-30 02:28:17 +08:00
这是被印度人占领了嘛, 保持这个软件质量, 不出五年 就没人记得苹果了.
|