LaptopMobilitySicurezzaSistemi OperativiWorkspace

MacOs High Sierra, grave baco nei privilegi root. Ora è risolto

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

E’ disponibile la patch ufficiale di Apple al grave problema di sicurezza rivelato in questi giorni relativo alla possibilità di accedere con un account root senza password cliccando più volte sul pulsante di sblocco

Un grave problema di sicurezza è stato rilevato su due versioni di MacOs High Sierra (sono la 10.13.1 e la 10.13.2 attualmente in beta) e sanato da Apple. In pratica era possibile forzare le procedure di login semplicemente digitando root nel campo nome utente, lasciare vuoto il campo password e continuare a premere il pulsante di sblocco fino alla scomparsa della finestra e quindi all’avvio del sistema.

Il baco, come si può capire, di una certa gravità, è venuto alla luce grazie al tweet di uno sviluppatore turco, Lemi Orhan Ergin che ha preferito rilevare il problema al mondo (ed anche ad Apple) via Tweet e non seguendo la più responsabile procedura e cioè rivolgendosi prima di tutto al supporto del vendor.

Questo comportamento, che di sicuro porta una maggiore celebrità, allo stesso tempo dal punto di vista della sicurezza è un comportamento rischioso almeno quanto il baco stesso. In verità un problema in parte riconducibile al primo sugli account admin era stato già segnalato da un altro sviluppatore Chethan Kamath nel forum di supporto ufficiale

Apple macOS High Sierra
Apple macOS High Sierra 

E mentre la prima delle due versioni (10.13.1) effettivamente era in mainstream, la seconda è una beta, comunque scaricabile da chiunque, e nel frattempo è arrivata la patch ufficiale del vendor. E’ evidente che il problema di sicurezza presente anche nella versione beta significa in qualche modo che in Apple nessuno ancora avesse preso coscienza del problema.

Un problema che anche in assenza della patch non avrebbe portato alcuna conseguenza abilitando l’utente root con un’opportuna password, una procedura di sicuro doverosa per chi amministra le macchine ma che bisogna in ogni caso riconoscere come insolita per gli utenti meno esperti. L’utilizzo di un account root è infatti prerogativa degli account admin del Mac ed è comunque disabilitata di default.