Tecnologia
November 29 2017
Aggiornamento del 29 novembre ore 18.00
Apple ha comunicato di aver risolto, in meno di 24 ore, il problema circa il pericoloso bug su macOS High Sierra. Ecco cosa fare per proteggersi:
"La sicurezza è una priorità assoluta per ogni prodotto Apple e purtroppo siamo inciampati in questa problematica. Quando i nostri ingegneri della sicurezza sono venuti a conoscenza della falla abbiamo immediatamente iniziato a lavorare su un aggiornamento che la chiudesse. L'aggiornamento del sistema è già disponibile per il download e, a partire da più tardi nel corso della giornata, verrà installato automaticamente su tutti i sistemi che eseguono l'ultima versione (10.13.1) di macOS High Sierra. Siamo molto dispiaciuti per questo errore e ci scusiamo con tutti gli utenti Mac, sia per la vulnerabilità che per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo facendo una verifica dei nostri processi di sviluppo per evitare che ciò accada di nuovo."
La storia originale
Lo sviluppatore Lemi Ergin, quasi per caso, ha scoperto una pericolosa falla su macOS High Sierra. Basta infatti accendere qualsiasi computer portatile o desktop di Apple, digitare su Altro nella pagina che compare al login, inserire nel campo nome utente root e lasciare vuoto il box della password, premere Invio e accedere senza problemi al dispositivo.
Il brutto della questione è che in questo modo ci si autentica non come semplici utilizzatori ma in veste di amministratori, in grado cioè di compiere qualunque azione di modifica delle impostazioni, copia e incolla dei file e cancellazione dei dati, non dovendo digitare alcuna chiave segreta o cose del genere.
Quello che cambia, rispetto all’utente che di norma usa la macchina, è che non vedremo sulla scrivania le sue icone e collegamenti, tutti presenti nelle cartelle di sistema e facilmente raggiungibili spulciando tra i percorsi.
Abbiamo provato il metodo e funziona, lasciando a chiunque l’opportunità di loggarsi sul terminale lasciato incustodito. L’unica versione di macOS High Sierra vulnerabile è la più recente, numero 10.13.1 ma anche quella dopo divulgata solo in beta, la 10.13.2, mentre sulle precedenti pare non sia possibile aggirare in questo modo la sicurezza del sistema operativo della Mela.
Qui i complicati passi per ottenere l'accesso di Root a macOS High Sierra #bugpic.twitter.com/OVVSGPilw1
— Antonino Caffo (@Connessioni) 29 novembre 2017
Apple ha riconosciuto il problema e ha prontamente risposto che è già al lavoro per risolverlo. Intanto possiamo già tappare la falla almeno in via temporanea, con un paio di mosse per nulla complicate. Eccole:
Ecco il comunicato della compagnia in merito alla vicenda: "Stiamo lavorando a un aggiornamento software per risolvere questo problema. Nel frattempo, l'impostazione di una password di root impedisce l'accesso non autorizzato al Mac. Se un utente root è già abilitato, per assicurarsi che non sia stata impostata una password vuota, segui le istruzioni dalla sezione "Modifica la password di root".