Ого тут Apple лоханулась! Как пишет товарищ в твиттере, в Мак можно залогиниться рутом, если ввести пользователя root с пустым паролем и кликнув на кнопку login несколько раз.
https://twitter.com/lemiorhan/status/935578694541770752
Временный воркараунд для защиты - отключить пользователя root, инструкция здесь https://support.apple.com/en-ie/HT204012
https://twitter.com/lemiorhan/status/935578694541770752
Временный воркараунд для защиты - отключить пользователя root, инструкция здесь https://support.apple.com/en-ie/HT204012
Twitter
Lemi Orhan Ergin
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
Ещё один воркараунд - установить пользователю root пароль - Workaround until patched: Open /System/Library/CoreServices/Applications/Directory Utility. Edit -> Enable Root User. Edit -> Change Root Password... to change the password to something else. Leave root user enabled.
Также пишут, что фокус с рутом не работает в последней бете - это macOS 10.13.2 beta 5. Но если не хотите ставить бету, то лучше завести пароль пользователю root (некоторые пишут, что отключение root не помогает)
так, поскольку тема с дырой в macOS и пользователем root, как оказалось, еще может быть эксплуатирована удаленно, то лучше всего всетаки задать пароль пользователю root, и внимательно следить, чтобы никто к вашему компьютеру не прикасался и не подключался.
Change the root password
Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
Click lock icon, then enter an administrator name and password.
Click Login Options.
Click Join (or Edit).
Click Open Directory Utility.
Click lock icon in the Directory Utility window, then enter an administrator name and password.
From the menu bar in Directory Utility, choose Edit > Change Root Password…
Enter a root password when prompted.
Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
Click lock icon, then enter an administrator name and password.
Click Login Options.
Click Join (or Edit).
Click Open Directory Utility.
Click lock icon in the Directory Utility window, then enter an administrator name and password.
From the menu bar in Directory Utility, choose Edit > Change Root Password…
Enter a root password when prompted.
Для любителей терминала (совет от читателя Игоря):
Spotlight -> Terminal -> sudo passwd
enter you password
enter new password for root user
confirm new password
Spotlight -> Terminal -> sudo passwd
enter you password
enter new password for root user
confirm new password
Если интересно, то вот по ссылке есть подробное объяснение, почему баг с рутом вообще происходит (за ссылку спасибо читателю)
https://objective-see.com/blog/blog_0x24.html
https://objective-see.com/blog/blog_0x24.html
objective-see.org
Why _blank_ Gets You Root
tracking down the cause of a serious authentication flaw
Не рутом единым! Специалисты «Лаборатории Касперского» обнаружили в Google Play 85 вредоносных приложений, которые воровали данные пользователей, необходимые для входа во «ВКонтакте».
https://securelist.ru/ugony-prodolzhayutsya/88118/
https://securelist.ru/ugony-prodolzhayutsya/88118/
securelist.ru
“Угоны” продолжаются
Два года назад мы рассказали о зловреде, который распространялся через магазин приложений Google Play. Всего за два месяца этого года (октябрь и ноябрь) мы нашли 85 новых приложений, с помощью которых злоумышленники похищали учетные данные социальной сети…
Тут в очередной раз поднялась тема о том, что дроны DJI шпионят за Америкой в пользу Китая. Новость проиллюстрирована моей любимой картинкой https://gizmodo.com/homeland-security-thinks-dji-is-using-its-drones-to-spy-1820875601
Gizmodo
Homeland Security Thinks DJI Is Using Its Drones to Spy on America
Various members of the Trump administration, including the president himself, are famous for buying into crazy conspiracy theories. Now, the Los Angeles office of Homeland Security’s Immigration and Customs Enforcement (ICE) has come up with a whopper of…
Как сайты криптомайнят втихаря от пользователей даже после того, как пользователь закрыл сайт в браузере https://arstechnica.com/information-technology/2017/11/sneakier-more-persistent-drive-by-cryptomining-comes-to-a-browser-near-you/
Ars Technica
Websites use your CPU to mine cryptocurrency even when you close your browser
Resource-draining code hides in pop-under windows that can remain open indefinitely.
Как нам тут пишут, вчера в мире отмечался день этого канала! «Международный день защиты информации В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации.» с чем вас всех и поздравляю!
А если вы снимаете квартиру по AirBnB и там видите датчик движения - не расслабляйтесь, в нем может быть встроена камера
Времена Нового Йорка пишут о подрядчике Агентства Национальной Безопасности, с компьютера которого были украдены инструменты Агентства и в последствии опубликованы в Интернете группировкой Shadow Brokers
https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html
https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html
NY Times
Former N.S.A. Employee Pleads Guilty to Taking Classified Information (Published 2017)
Nghia H. Pho, a software developer for the intelligence agency, admitted taking secrets that Russian hackers then stole from his home computer.