Se utilizzate macOS High Sierra, disabilitate subito l’utente ospite! (aggiornato 2)
Lo sviluppatore Lemi Orhan Ergin ha individuato una grave e imbarazzante falla di sicurezza che può permettere a chiunque di accedere ad un Mac con installato macOS High Sierra versioni 10.13.0, 10.13.1 e 10.13.2 beta.
È possibile sfruttare la vulnerabilità solo se sul Mac è abilitato l’utente ospite (lo è di default) e non è stata modificata la password dell’account root (amministratore di sistema).
La falla
Per accedere al Mac, al momento del login o dalla finestra di blocco bisogna selezionare l’utente ospite, quindi in Preferenze di sistema scegliere il pannello Utenti e gruppi, fare click sul lucchetto in basso a sinistra per autenticarsi, digitare root
nel campo “Nome utente”, cliccare nel campo Password lasciandolo vuoto e premere Sblocca per accedere come amministratore del Mac (la procedura descritta potrebbe essere necessaria effettuarla due volte).
In attesa che Apple rilasci un aggiornamento di sicurezza che risolva questa imbarazzante falla, è necessario disabilitare l’utente ospite se siete i soli a usare il Mac oppure cambiare la password dell’utente root se lo condividete con altri account standard.
Come disabilitare l’utente ospite
1. Lanciate Preferenze di sistema e selezionate il pannello Utenti e gruppi
2. Click sul lucchetto in basso a sinistra e autenticatevi
4. Dalla colonna laterale click su “Utente ospite”
5. Togliete il segno di spunta all’opzione “Consenti agli ospiti di eseguire il login su questo computer”
Come cambiare la password dell’utente root
A. Lanciate Preferenze di sistema e selezionate il pannello Utenti e gruppi
B. Click sul lucchetto in basso a sinistra e autenticatevi
C. Click su Opzioni login.
D. Click su Accedi
F. Click su Apri Utility Directory
G. Click sul lucchetto nella finestra Utility Directory, quindi inserite il nome e la password del vostro account
F. Dalla barra dei menu in Utility Directory selezionate Modifica/Abilita utente root, quindi digitare la password che desiderate utilizzare per l’utente root.
Aggiornamento: Apple ha fatto sapere che è in arrivo un security update che risolve il problema.
Aggiornamento: Apple ha rilasciato l’update che chiude la falla.
26 Commento
Grazie mille!
Grazie sempre Stefano
Beh, con una password vuota, direi che è i minimo poter accedere all’account senza password 🙂
Bisogna aver istallato High Sierra e bisogna lasciare il Mac in mani altrui (ammesso che “altrui” sappiano di questa falla). Oppure possono accedere anche da remoto? Secondo me era meglio se, chi l’ha scoperto, lo comunicava solo a Apple e risolvevano il bug senza pubblicizzarlo. I danni non sono causati dal bug, ma dai ciarlatani: “signori, Apple ha lasciato la porta aperta. Ingresso libero”. Si vede che c’è un interesse anche a farlo sapere in giro. Per fortuna non ho aggiornato a High Sierra. Comunque è strano che Apple commetta queste leggerezze. Che stia perdendo colpi?
La falla si può sfruttare da remoto solo se se la vittima ha impostato il Mac in modo che sia accessibile e controllabile da remoto (per esempio con VNC).
infatti 😉
Grazie come sempre per la segnalazione.
Grazie della notizia Stefano! Secondo me lo sviluppatore è stato correttissimo: in effetti poteva divulgarla prima ma ha atteso i tempi corretti per permettere ad Apple di pubblicare a breve questo imbarazzante security update, segno che Apple era già stata informata della falla.
Grazie come sempre e … veramente imbarazzante come bug ?
Grazie Stefano, tempestivo come sempre. E poi con un ? …….non esageriamo….. sappiamo tutti che la perfezione non è di questo Mondo.
Grazie collega!!… dalla prima installazione di High Sierra cercavo proprio questo, come disabilitare l’utente ospite. Complimenti vivissimi per le tue interessanti notizie del mondo Apple.
La falla riguarda l’utente root e non l’utente ospite. Tuttavia, la cosa allucinante e che il bug consente di ottenere i privilegi di root dopo ripetuti tentativi di autenticazione senza password anche con l’utenza root *disabilitata* come è di default all’installazione di HSierra.
Che la falla riguardasse l’utente root è stato spiegato nell’articolo.
Disabilitando l’utente ospite, per accedere al Mac l’eventuale hacker dovrebbe conoscere la password dell’account amministratore del computer.
Non è così perchè *non* hai spiegato che è necessario impostare una password per l’utente root. Solo così puoi stare tranquillo indipendentemente se abilitare o disabilitare l’account ospite.
Ma te l’ho spiegato sopra (e soprattutto nell’articolo)…
Login utente ospite (che è senza password) -> Preferenze di Sistema/Account e gruppi -> Login con root
Disabiliti utente ospite = non accedi al Mac
Se disabiliti l’utente ospite non è necessario impostare una password per l’utente root
evidentemente non hai capito la falla. Lascia stare l’utente ospite…
la miglior protezione possibile è impostare la password di root e buonanotte.
Ciao,
Secondo me non sai come funzionano i computer.
P.S.
È spiegato nell’articolo come e perchè impostare la password root.
Stefano disabilitare l’utente ospite non basta, io riesco a entrare nelle preferenze utenti e gruppi digitando solo “root” e campo password vuoto anche con l’utente ospite non attivo. Al terzo tentativo mi fa entrare. macOS 10.13.1
Per arrivare alle Preferenze di sistema devi fare un login con un account… Quali usi se hai disabilitato l’utente ospite? Uno di cui conosci la password, e quindi non hai bisogno di sfruttare la falla.
No io per modificare le preferenze devo loggarmi come amministratore tutte le volte e quando mi chiede il login tolgo il mio nome, metto “root”, lascio la password vuota, pigio ENTER ed entro!
Fabio… questo significa che tu hai già fatto il login del tuo account. Ma una persona diversa da te che accende o deve sbloccare il tuo Mac come arriva alle Preferenze di sistema se l’account Ospite che non richiede la password è disabilitato?
Sì è vero..
Integro il commento precedente. Se dopo aver scritto root e lasciato vuoto il campo password CLICCO su sblocca non funziona se invece schiaccio il tasto ENTER da tastiera entro al primo colpo.
Stefano secondo te è meglio mettere una password di root diversa da quella con cui faccio il login da amministratore oppure è solo complicarsi la vita. Grazie
Ora che Apple ha rilasciato l’aggiornamento puoi lasciare tutto com’era ed è sempre stato ?