Le développeur Lemi Orhan Ergin a découvert un bogue potentiellement grave qui permet à quiconque d'accéder à votre ordinateur en tant que root en tentant de se connecter avec le nom d'utilisateur «root» et en laissant le mot de passe vide. La vulnérabilité peut être facilement répliquée, mais heureusement, il existe une solution simple pour résoudre le problème sur votre Mac jusqu'à ce qu'Apple publie un correctif.
Vous pouvez essayer de reproduire le problème vous-même:
- Ouvert Préférences de système.
- Choisir Utilisateurs et groupes dans le coin inférieur gauche.
- Clique le dans le coin inférieur gauche.
- Dans la boîte de connexion, tapez "root" comme nom d'utilisateur.
- Déplacez la souris dans le champ Mot de passe, cliquez ici, mais laissez-le vide.
- Maintenant, cliquez sur déverrouiller.
Cela devrait maintenant vous permettre d'accéder au compte administrateur, même la possibilité de mettre à jour le mot de passe.
Ergin a signalé le problème sur Twitter et a reçu une réponse rapide du support Apple.
Examinons de plus près ce qui se passe ensemble. Envoyez-nous un DM qui inclut votre modèle Mac avec votre version macOS. Nous vous rencontrerons là-bas. https://t.co/GDrqU22YpT
- Assistance Apple (@AppleSupport) 28 novembre 2017
Le bogue est actuellement dans la dernière version publique de macOS High Sierra, 10.13.1 ainsi que la version bêta de macOS 10.13.2. Compte tenu de la gravité de ce bogue, Apple publiera sans aucun doute un correctif dès que possible.
En attendant, il existe une solution de contournement que vous pouvez activer si vous souhaitez être sûr que votre Mac est verrouillé.
Pour vous protéger, activez simplement un compte root avec un mot de passe. Vous pouvez consulter le document d'assistance d'Apple sur la façon de le faire, mais nous avons copié les instructions ici par souci de concision.
Activer l'utilisateur root
- Dans le menu Apple (), sélectionnez Préférences Système, puis cliquez sur Utilisateurs et groupes
- Clique sur le dans le coin inférieur gauche, puis entrez vos informations d'identification d'administrateur
- Cliquez sur Options de connexion sur le côté gauche
- Sélectionnez ensuite «Join», puis choisissez Open Directory Utility
- Clique le qui apparaît, puis entrez vos informations d'identification d'administrateur
- Dans la barre de menus de l'Utilitaire d'annuaire, cliquez sur Modifier, puis sur Activer l'utilisateur racine, puis choisissez un mot de passe pour l'utilisateur racine
Apple a déclaré à la presse qu'un correctif était en préparation.
Avez-vous pu répliquer ce bug sur votre machine? Faites le nous savoir dans les commentaires.