使用 macOS High Sierra 作業系統的讀者們請注意,一名土耳其開發者發現了 Mac 重大漏洞!當使用搭載 macOS High Sierra 的 Mac 電腦時,竟允許任何人以「root」作為使用者帳號就能登入,無需輸入密碼。蘋果官方先公布暫時性的補救方案,並將透過系統更新解決此問題。
macOS 的「root」使用者帳號
這個安全漏洞存在於今年 9 月底釋出的 macOS High Sierra 當中,使用 Mac 的桌機或筆電時,以「root」為使用者帳號可直接登入裝置,且無需輸入密碼,相當於取得系統管理員權限,能讀寫其他使用者的檔案以及變更系統設置,難保用戶隱私不外流。
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use “root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
▲ 來自土耳其的開發者 Lemi Orhan Ergin 發現此問題後,立即透過 Twitter 向 Apple Support 官方帳號反映。
蘋果官方在技術支援文件說明,名為「root」的使用者帳號是超級使用者,如同 Windows 系統裡的「administrator」,具備系統更多功能的讀寫權限,包括可讀寫其他 macOS 使用者帳號的檔案;但「root」預設為停用狀態,並非為日常使用所設計。
停用「root」使用者帳號
蘋果發言人 Bill Evans 表示,目前已緊急進行軟體的升級更新,將釋出給用戶以解決此問題。在等待下一次 macOS High Sierra 更新版本之前,可先透過以下步驟停用「root」使用者帳號:
- 按一下左上角【】蘋果選單 →【系統偏好設定】→【使用者與群組】。
- 按一下開啟鎖頭標誌,輸入管理者名稱與密碼。
- 按一下【登入選項】。
- 按一下【加入】(或【編輯】)。
- 按一下【打開目錄工具程式】。
- 按一下開啟「目錄工具程式」的鎖頭標誌,然後輸入管理者名稱與密碼。
- 在「目錄工具程式」的最上排功能列當中:
點選【編輯】→【啟用 Root 使用者】,然後輸入您為「root」使用者帳號選擇的密碼,只讓您自己能夠登入;或是點選【編輯】→【停用 Root 使用者】。
(圖片來源:Twitter @lemiorhan)
