Käyttöjärjestelmän uusimmasta 10.13 High Sierra -versiosta on paljastunut paha haavoittuvuus, jota hyväksikäyttämällä on mahdollista saada pääkäyttäjätason eli rootin oikeudet.

Turkkilainen ohjelmistokehittäjä Lemi Orhan Ergin paljasti eilen Twitterissä Applen macOS-käyttöjärjestelmästä erittäin kriittisen nollapäivähaavoittuvuuden.

Apple-tuelle osoittamassaan twiitissä Ergin kertoi, että kuka tahansa pystyy kirjautumaan root-pääkäyttäjätunnuksella sisään ilman salasanaa. Haavoittuvuus koskee macOS-käyttöjärjestelmän uusinta 10.13 High Sierra -versiota ja niitä jotka eivät ole kytkeneet pois käytöstä vieras-tunnusta tai asettaneet erikseen root-pääkäyttäjän salasanaa.

Erginin toimintaa on kritisoitu laajasti, sillä alalla vallitsevan yleisen käytännön mukaan vakavat nollapäivähaavoittuvuudet tulisi raportoida suoraan kehittäjälle eikä paljastaa ja näin altistaa miljoonia tietokoneita vaaraan.

Ergin on kirjoittanut selvityksen twiitistään ja kertoi hänen yrityksensä raportoineen bugin Applelle jo 23. marraskuuta. Lisäksi Ergin luuli haavoittuvuuden olevan tiedossa, koska siitä on kirjoitettu esimerkiksi Applen kehittäjäfoorumille  jo 13. marraskuuta. Ergin selittää twiittinsä tarkoituksen olleen julkinen ihmettely, miksei Apple ollut vielä reagoinut haavoittuvuuteen.

Apple on antanut haavoittuvuudesta lausunnon, jonka mukaan se työstää parhaillaan päivitystä ja kehoittaa sillä välin käyttäjiä asettamaan root-käyttäjälle salasanan.

We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.

Lisää aiheesta: Viestintävirasto

This site uses XenWord.