Se utilizzate macOS High Sierra, disabilitate subito l’utente ospite! (aggiornato 2)

29 novembre 2017 ore 07:51 | di | 26 commenti

High Sierra bug utente ospite

Lo sviluppatore Lemi Orhan Ergin ha individuato una grave e imbarazzante falla di sicurezza che può permettere a chiunque di accedere ad un Mac con installato macOS High Sierra versioni 10.13.0, 10.13.1 e 10.13.2 beta.

È possibile sfruttare la vulnerabilità solo se sul Mac è abilitato l’utente ospite (lo è di default) e non è stata modificata la password dell’account root (amministratore di sistema).

La falla

Per accedere al Mac, al momento del login o dalla finestra di blocco bisogna selezionare l’utente ospite, quindi in Preferenze di sistema scegliere il pannello Utenti e gruppi, fare click sul lucchetto in basso a sinistra per autenticarsi, digitare root nel campo “Nome utente”, cliccare nel campo Password lasciandolo vuoto e premere Sblocca per accedere come amministratore del Mac (la procedura descritta potrebbe essere necessaria effettuarla due volte).

Bug utente root

In attesa che Apple rilasci un aggiornamento di sicurezza che risolva questa imbarazzante falla, è necessario disabilitare l’utente ospite se siete i soli a usare il Mac oppure cambiare la password dell’utente root se lo condividete con altri account standard.

Come disabilitare l’utente ospite

1. Lanciate Preferenze di sistema e selezionate il pannello Utenti e gruppi 

2. Click sul lucchetto in basso a sinistra Elcapitan lock inline e autenticatevi

4. Dalla colonna laterale click su “Utente ospite”

5. Togliete il segno di spunta all’opzione “Consenti agli ospiti di eseguire il login su questo computer”

Disabilitare utente root

Come cambiare la password dell’utente root

A. Lanciate Preferenze di sistema e selezionate il pannello Utenti e gruppi

B. Click sul lucchetto in basso a sinistra e autenticatevi

C. Click su Opzioni login.

D. Click su Accedi

Utente root abilita

F. Click su Apri Utility Directory

Utente root abilita 002

G. Click sul lucchetto Elcapitan lock inline nella finestra Utility Directory, quindi inserite il nome e la password del vostro account

Utility Directory001

F. Dalla barra dei menu in Utility Directory selezionate Modifica/Abilita utente root, quindi digitare la password che desiderate utilizzare per l’utente root.

Modifica password root

Aggiornamento: Apple ha fatto sapere che è in arrivo un security update che risolve il problema.

Aggiornamento: Apple ha rilasciato l’update che chiude la falla.

Approfondimenti: , , ,

Argomento: Mac

Commenti (26)

RSS commenti

  1. Simone ha detto:

    Grazie mille!

  2. Carlo 57 ha detto:

    Grazie sempre Stefano

  3. Marco ha detto:

    Beh, con una password vuota, direi che è i minimo poter accedere all’account senza password 🙂

  4. Tonino ha detto:

    Bisogna aver istallato High Sierra e bisogna lasciare il Mac in mani altrui (ammesso che “altrui” sappiano di questa falla). Oppure possono accedere anche da remoto? Secondo me era meglio se, chi l’ha scoperto, lo comunicava solo a Apple e risolvevano il bug senza pubblicizzarlo. I danni non sono causati dal bug, ma dai ciarlatani: “signori, Apple ha lasciato la porta aperta. Ingresso libero”. Si vede che c’è un interesse anche a farlo sapere in giro. Per fortuna non ho aggiornato a High Sierra. Comunque è strano che Apple commetta queste leggerezze. Che stia perdendo colpi?

  5. Grazie della notizia Stefano! Secondo me lo sviluppatore è stato correttissimo: in effetti poteva divulgarla prima ma ha atteso i tempi corretti per permettere ad Apple di pubblicare a breve questo imbarazzante security update, segno che Apple era già stata informata della falla.

  6. Riccardo Pareschi ha detto:

    Grazie come sempre e … veramente imbarazzante come bug 🤓

  7. henriot ha detto:

    Grazie Stefano, tempestivo come sempre. E poi con un 😄 …….non esageriamo….. sappiamo tutti che la perfezione non è di questo Mondo.

  8. Riccardo ha detto:

    Grazie collega!!… dalla prima installazione di High Sierra cercavo proprio questo, come disabilitare l’utente ospite. Complimenti vivissimi per le tue interessanti notizie del mondo Apple.

  9. fascox ha detto:

    La falla riguarda l’utente root e non l’utente ospite. Tuttavia, la cosa allucinante e che il bug consente di ottenere i privilegi di root dopo ripetuti tentativi di autenticazione senza password anche con l’utenza root *disabilitata* come è di default all’installazione di HSierra.

  10. fabio ha detto:

    Stefano disabilitare l’utente ospite non basta, io riesco a entrare nelle preferenze utenti e gruppi digitando solo “root” e campo password vuoto anche con l’utente ospite non attivo. Al terzo tentativo mi fa entrare. macOS 10.13.1

    • Stefano Donadio ha detto:

      Per arrivare alle Preferenze di sistema devi fare un login con un account… Quali usi se hai disabilitato l’utente ospite? Uno di cui conosci la password, e quindi non hai bisogno di sfruttare la falla.

      • fabio ha detto:

        No io per modificare le preferenze devo loggarmi come amministratore tutte le volte e quando mi chiede il login tolgo il mio nome, metto “root”, lascio la password vuota, pigio ENTER ed entro!

  11. fabio ha detto:

    Integro il commento precedente. Se dopo aver scritto root e lasciato vuoto il campo password CLICCO su sblocca non funziona se invece schiaccio il tasto ENTER da tastiera entro al primo colpo.

  12. ricky66 ha detto:

    Stefano secondo te è meglio mettere una password di root diversa da quella con cui faccio il login da amministratore oppure è solo complicarsi la vita. Grazie

Aggiungi un commento