Apple a publié mercredi un correctif essentiel pour macOS High Sierra pour corriger une vulnérabilité majeure découverte hier qui permettait un accès illimité avec des privilèges administratifs complets sur les Mac avec un compte Invité activé ou le mot de passe du compte root laissé vide.
La mise à jour de sécurité 2017-001 corrige un bogue majeur dans Directory Utility qui permettait à un attaquant de contourner l'authentification administrateur sans fournir le mot de passe administrateur. "Une erreur de logique existait dans la validation des informations d'identification", explique Apple.
Le problème a été résolu par une meilleure validation des informations d'identification.
Le correctif est disponible pour macOS High Sierra 10.13.1 ou supérieur. Les ordinateurs avec macOS Sierra 10.12.6 ou une version antérieure ne sont pas concernés. Pour installer cette mise à jour, cliquez sur l'onglet Mises à jour dans le Mac App Store. Aucun redémarrage n'est requis. Des informations supplémentaires sur le contenu sécuritaire de la mise à jour de sécurité 2017-001 sont disponibles dans un document d'assistance sur le site Web d'Apple..
La société Cupertino a également présenté des excuses aux utilisateurs, affirmant que ses clients «méritent mieux» et promettant d'auditer son processus de développement afin d'éviter que cela ne se produise..
«Nous regrettons grandement cette erreur et nous nous excusons auprès de tous les utilisateurs de Mac, à la fois pour avoir corrigé cette vulnérabilité et pour les inquiétudes qu'elle a causées», indique le communiqué. «Nos clients méritent mieux. Nous vérifions notre processus de développement pour éviter que cela ne se reproduise. »
Après avoir appliqué le patch, assurez-vous que le numéro de build de macOS est «17B1002» en sélectionnant Rapport système → Logiciel après avoir choisi À propos de ce Mac dans le menu Mac. Si vous avez besoin du compte d'utilisateur root sur votre Mac, vous pouvez activer l'utilisateur root et changer son mot de passe.
Compte tenu de la gravité de cette vulnérabilité, il n'est pas étonnant qu'Apple exhorte les utilisateurs à appliquer le correctif d'aujourd'hui dès que possible pour protéger leur vie privée et renforcer la sécurité de leur Mac..
