Был опубликован твит, согласно которому можно получить привелегии суперпользователя, если в окошке System Preferences > Users & Groups открыть любого пользователя, щелкнуть на замке, после чего указать root в качестве пользователя и оставить пароль пустым. Несколько (sic!) кликов по Unlock «убеждают» MacOS в необходимости предоставить права суперпользователя.

Уязвимость была экспериментально подтверждена множеством пользователей.

Что еще хуже, данный трюк работает на экране входа в систему.

image
Скриншот из твита

Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:

sudo passwd -u root

и задать суперпользователю нескучный пароль (источник). Есть так же способ сделать то же самое, но через GUI.

Update


По информации ресурса TechCrunsh, Apple выступила со следующим заявлением касательно произошедшего:
We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.
Мы работаем над обновлением, которое исправит данную проблему. Пока оно не вышло, для предотвращения несанкционированного доступа к вашему компьютеру следует задать пароль на root, инструкция доступна здесь. Если пользователь root уже активен, нужно убедиться, что пароль не является пустым.


Update 2


О проблеме было известно и раньше (спасибо пользователю xi-tauw):
Твит от 20-го ноября не получил должной огласки.
— Apple не обратила внимание на сообщение на их собственном форуме от 13-го ноября.

Update 3


Указанный выше способ так же работает, если пароль на root задан, но сам суперпользователь отключен. Вывод — не следует отключать root после установки пароля.
Спасибо пользователю sergius_the_black за полезную ссылку.

Update 4


Меньше, чем через сутки, Эпл выпустила патч, устраняющий данную уязвимость.
Спасибо vagonovozhaty за ссылку.

Комментарии (146)


  1. Finesse
    29.11.2017 01:59

    Действительно, можно войти в полноценное рабочее пространство под root, используя пустой пароль. Давно я не встречал таких эпичных уязвимостей.


    1. shure348
      29.11.2017 17:07

      в 98 винде помню можно было просто закрыть окно логина и спокойно работать


      1. kalininmr
        29.11.2017 17:15
        +1

        это был Эпик.
        но там простительно, ибо пароль был не от системы, а от приставленной сбоку примочки поддержки многопользовательского входа.


  1. Dmitry88
    29.11.2017 02:07

    А тем, кто не перешел на HIgh грозит что-нибудь?


    1. AlphaStream Автор
      29.11.2017 02:16

      Уязвимость подтверждена только на High Sierra. Данных о попытках воспроизвести баг на предыдущей версии (Sierra) мало, и они отрицательные.


      1. YNechaev
        29.11.2017 03:52

        У некоторых людей (включая меня) баг вообще не воспроизводится. Значит есть более вменяемое решение кроме включения логина у рутового аккаунта.


        1. vixs
          29.11.2017 10:17

          У вас тоже воспроизводится. Надо поставить курсор в поле ввода пароля перед нажатием кнопки разблокировки.


      1. maggg
        29.11.2017 10:18

        У меня на Sierra не воспроизводится.


        1. skabbit
          29.11.2017 14:30

          У меня на High Sierra тоже не воспроизводится из окна Users & Groups.


    1. Ashot
      29.11.2017 02:35

      При обновлении на что-нибудь выше sierra сделайте бекап всех данных и выключите шифрование(file vault которое). У меня после перехода непостижимым образом хард оказался зашифрован намертво — раздел без пароля не монтируется, а пароль не проходит. Что-то там пошло не так из-за apfs и конвертации в него.
      И теперь у меня все данные лежат на внешнем харде и ждут вызволения. Только вот когда apple решит проблему и решит ли вообще — не понятно
      Я понимаю, что вы после этого поста вряд ли будете обновляться, просто решил предупредить и подкинуть ещё одну причину, что бы не устанавливать обновление


      1. Finesse
        29.11.2017 02:58

        У меня обновление прошло успешно, все данные целы. Правда я не использовал шифрование диска.


      1. Igogo2012
        29.11.2017 04:51

        Обновлялся с зашифрованым диском и все работает исправно


        1. voidMan
          29.11.2017 05:28

          Аналогично, два макбука обновил до High Sierra с включенным шифрованием, проблем не было.


          1. vixs
            29.11.2017 09:56

            Обновлял с включённым щифрованием, получил рассинхронизацию паролей. У одного пользователя в разных местах были разные пароли: два при загрузке, третий в консоли. Отключил потом шифрование, с горем пополам все пароли синхронизировал, но теперь шифрование нельзя включить — баг High Sierra.


          1. Ashot
            29.11.2017 11:18

            У меня тоже проблем не было, до определённого момента. Просто как-то пришёл на работу, открыл ноут, и внезапно получил описанную проблему.


      1. beatleboy
        29.11.2017 10:03

        Я обновился на второй день после выхода системы. Установка прошла нормально. Но дальше окна логина система меня не захотела пускать, висла намертво. Пришлось с нуля ставить на отформатированный диск. Данные были утеряны, благо весь код на git. Фотки в облаке. Но день все равно был потерян.


        1. Ashot
          29.11.2017 11:14

          У меня так же установка прошла без эксцессов. Даже 2 обновления – 10.13 и 10.13.1 и при этом проблема сразу не проявилась, просто в какой-то момент утром ноут не стартанул. В сервисе уже сделали дамп на отдельный хард и переустановили систему.
          А вообще эта проблема с apfs лотерея, как я понял – кто-то не испытывает вообще никаких проблем, у кого-то процесс установки застывает на середине, у кого-то после установки начинаются проблемы. Нам с вами, видимо, "повезло" больше всех


        1. voidMan
          29.11.2017 14:37

          А backup из Timemachine? Перед мажорным обновлением крайне рекомендуется его делать, тогда восстановить данные не проблема


      1. le1ic
        29.11.2017 13:35

        У меня с шифрованием проблем к счастью не возникло, но при обновлении система ушла в вечный цикл перезагрузки. Вылечилось по совету с эпловского форума путем запуска утилиты проверки и восстановления диска. Очень неудачный апдейт конечно, читал про полностью потерянные данные.


    1. stp008
      29.11.2017 03:08

      Проблема в том, что ХС поставляется изначально без пароля на рут. Задайте пароль на рута и забудете про сабж


      1. cherepart
        29.11.2017 03:54

        Остается понять, зачем было сбрасывать рут пароль


  1. Finesse
    29.11.2017 02:30

    Система принимает root и пустой пароль не только на экране входа в систему и настройках пользователей, но и в любом другом окне ввода логина и пароля в любом приложении.


    1. vixs
      29.11.2017 10:13

      Не в любом: su в консоли не принимает.


  1. robert_ayrapetyan
    29.11.2017 03:04
    +1

    Порадовало что не сразу, а только если много раз покликать… Прям как в том анекдоте про китайцев и Пентагон.


    1. eXtReeM
      29.11.2017 03:15

      Достаточно одного клика, если до этого кликнуть на поле пароля (вводить пароль не надо). Проверено на 10.13.1


      1. KoCMoHaBT61
        29.11.2017 19:17

        Не не работает. Окно логина дрыгается. А вот на второй unlock срабатывает.


    1. beatleboy
      29.11.2017 10:04

      У меня также срабатывает если вместо клика многократно enter нажать


    1. vixs
      29.11.2017 10:13

      Множественный клик не требуется.


    1. svosin
      29.11.2017 12:17

      Для не слышавших о таком анекдоте
      Китайцы взломали сервер Пентагона. Вот как это было:
      1. Каждый китаец попробовал один пароль.
      2. Каждый второй пароль был «Мао Цзедун»
      3. На 74357181-й попытке сервер согласился, что у него пароль «Мао Цзедун».


      1. Fracture
        29.11.2017 15:38

        • Пусти
        • Не пущу
        • Ну пусти
        • Не пущу
        • Нуу пустиии
        • Ладно, заходи


    1. goodwind
      29.11.2017 15:38

      держу пари, количество рутовых паролей «maodzedun» в мире маководов стремительно выросло


  1. snnrman
    29.11.2017 03:50

    Два крупных факапа по безопасности меньше чем за полгода. Apple, ты там нормально?


    1. homozavruss
      29.11.2017 09:07

      они взяли все на себя в этом году )) догнать и перегнать


    1. TheKnight
      29.11.2017 12:05

      А можно подробней про первый? Как гуглить, где читать?


      1. snnrman
        29.11.2017 12:10

        Уязвимость позволяла любому ПО таскать пароли из keychain. Гуглить по «keychain vulnerability».


        1. TheKnight
          29.11.2017 12:48

          Спасибо, почитал.


          1. BeppeGrillo
            29.11.2017 15:10
            +1

            Тогда 3, было ещё отображение пароля в поле для подсказки…


    1. alemiks
      30.11.2017 14:25

      оу, сорри, мы занимались более важными делами — внедрением анимированных какашек


  1. joker2k1
    29.11.2017 03:50

    Да, в номинации «самый эпичный удар по безопасности»-2017 уверенно побеждает Apple )


  1. Londoner
    29.11.2017 04:51

    Всё, хватит! Ушёл ставить Убунту…
    Кстати, какой из десктопных линуксов самый надёжный?
    Только не надо про Дебиан — например, планшетный сканер под ним после всех плясок так и не заработал, в Убунте завёлся из коробки. Но Убунта глючит в куче других мест.


    1. kraamis
      29.11.2017 09:13

      Mint — почти все работает, все что не работает — решается за пять минут в гугле


      1. Londoner
        29.11.2017 13:20

        Минт? Ну не знаю… Помню как несколько лет назад там была проблема десктоп залочить. Даже если и пофиксили с тех пор, репутация испорчена навсегда. Есть по-настоящему надёжные дистрибутивы?


        1. kraamis
          29.11.2017 13:21

          Если так говорить — то все дистры плохие. Софта без багов не бывает, это закон природы.


          1. Londoner
            29.11.2017 20:07

            Это понятно, что не бывает. Но тут диву даёшься, а сами разработчики этим скопищем жуков пользуются?


            1. sumanai
              30.11.2017 16:17

              Вы про какую ОС? Любая ОС сложнее калькулятора- сборище багов и неочевидного поведения.


              1. Londoner
                30.11.2017 17:14
                -2

                Я про Убунту, Минт и прочие. А про баги — безусловно. Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна. Вот доведите десктопный линукс хотя бы до такого уровня.


                1. sumanai
                  30.11.2017 17:24

                  Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна.

                  Да вы обладаете прямо фантастической везучестью или идеальным нюхом на беспроблемное железо. Я хоть и фанат XP, но признаю, что у неё тоже бывают проблемы, она требует бубен для некоторых вещей, и иногда даже мне показывала синий экран.



    1. calg0n
      29.11.2017 10:39

      Самый надёжный наверное Tails :)


    1. tihov
      29.11.2017 19:52

      Попробуйте Elementary OS. В основе лежит Ubuntu, а сверху разработчики делают что-то похожее на osx


      1. Londoner
        29.11.2017 19:59

        А она надёжная? Или как кривая Убунта?


    1. kafeman
      29.11.2017 20:28

      Если брать широко распространенные дистрибутивы, то основанные на RHEL, на мой взгляд, безопаснее на дефолтных настройках, чем основанные на Debian. Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.


      1. Londoner
        29.11.2017 20:31

        Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.

        Ну да, 500 человек в Canonical не смогли за десять лет до нормального состояния допилить, а я один за вечер конечно смогу :)


        1. alexr64
          29.11.2017 21:14

          Canonical занимается в большинстве своем «охомячковыванием» дебиана. Выпилить потенциально-деструктивные разрешения из sudoers не составит труда, при желании.


          1. Londoner
            30.11.2017 00:07

            Пожалуйста, не подменяйте понятия — мы сейчас говорим о надёжности, а не о безопасности.


            1. kafeman
              30.11.2017 00:24

              Я вот тоже не понял, что вы имеете ввиду. Вопрос про надежность в комментариях новости про root'а без пароля подразумевает безопасность, на мой взгляд. В таком случае, это в корне меняет мой ответ, данный выше. Пускай Debian не самый безопасный из коробки, но со своими 50000 морально устаревшими пакетами может считаться одним из самых протестированных. Только не удивляйтесь софту десятилетней давности.


              1. Londoner
                30.11.2017 00:38

                Да, новость про безопасность. Но мой вопрос именно про надёжность, ведь чтоб пользоваться десктопным Линуксом нужна не только безопасность (тут всё довольно неплохо, как минимум, по сравнению с другими ОС), но и надёжность. А на Дебиане мне так и не удалось запустить планшетный сканер.


                1. Roman_Cherkasov
                  30.11.2017 12:23

                  Если вам не удалось — это не значит что нет возможности. Возможно стоит подумать над самообразованием?


                  1. Londoner
                    30.11.2017 12:34

                    Мне кажется, отвечать логикой АвтоВАЗа — не самая лучшая идея. ОС нужна чтоб ездить, а не чтоб чинить. Мне не интересно становиться глубоким специалистом в допиливании хромых дистрибутивов линукса или починке карбюратора в жигулях, я лучше освою знания, которые принесут мне больший доход.


                    1. 0xd34df00d
                      30.11.2017 23:02

                      Только в случае автомобилей вам таки неплохо бы выучиться на права, а не просто купить их.

                      Глубоким специалистом становиться не обязательно, достаточно покупать железо под ОС, благо последние лет 5-10 это делать не так уж сложно даже в случае с линуксом. А примеры, скажем, USB WiFi-донглов, намертво вешающие тогда ещё Windows 7, у меня тоже есть.


                      1. Londoner
                        30.11.2017 23:32

                        Можно я перефразирую Ваш ответ?

                        «Карбюратор в жигулях не работает — значит права купил»

                        «Авослесарем становиться не обязательно, надо было в автосалоне правильные жигули выбрать, чтоб без брака, это не сложно»

                        «А у соседа, в иномарке фара перегорела, и колесо спустило, нифига они не лучше жигулей»


                        1. 0xd34df00d
                          30.11.2017 23:44

                          Перефразировать можно, но у вас не получилось именно перефразировать.


                    1. alexr64
                      01.12.2017 01:49

                      Не можете починить карбюратор? Вызывайте эвакуатор до СТО.


                      1. Londoner
                        01.12.2017 01:51

                        Есть вариант получше — купить машину, не требующую частых поездок на эвакуаторе.


                        1. alexr64
                          01.12.2017 02:12

                          Можно и купить.


                          1. Londoner
                            01.12.2017 02:26

                            Можно всё то же самое (без поддержки и сертификации) на халяву


                            1. alexr64
                              01.12.2017 02:30

                              Это для тех, кто в карбюраторы сам умеет.


                              1. Londoner
                                01.12.2017 02:54

                                А разве Centos не точная копия RHEL за исключением брендинга?


                                1. kafeman
                                  01.12.2017 03:09

                                  Эвакуатор не включен в стоимость.


                                  1. Londoner
                                    01.12.2017 03:18

                                    Это не есть проблема, если машинка не ломается каждый день.


                1. BeppeGrillo
                  30.11.2017 22:06

                  А на Дебиане мне так и не удалось запустить планшетный сканер.

                  Если производитель не сделал нормальный драйвер для Линукс то виноват Линукс. Если производитель не сделал нормальный драйвер для Виндоус то виноват производитель.
                  Л — Логика!


                  1. Londoner
                    30.11.2017 23:20

                    Не совсем так. Майкрософт убедил производителей в том, что стоит писать драйвера под Windows. Серверный Линукс завоевал популярность именно надёжностью, поэтому к любым серверам есть линуксовые драйвера. Да, в силу эффекта курицы и яйца десктопному линуксу сложнее убедить производителей писать драйвера под Линукс.

                    Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                    Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать "FuThank you Nvidia". Чтоб потребитель мог, условно говоря, прийти в магазин, и сказать продавцу «хочу видеокарту и сканер из вот этого списка». Глядишь, производители железа начнут чесаться. А производители софта портировать софт.

                    А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?


                    1. 0xd34df00d
                      30.11.2017 23:43

                      Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                      В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.

                      Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать «FuThank you Nvidia».

                      Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.

                      Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?

                      А производители софта портировать софт.

                      А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.

                      А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?

                      Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена. Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком.
                      А wine у меня и нет вовсе.

                      Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?


                      1. Londoner
                        01.12.2017 00:10

                        В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.

                        А надо чтоб работало хорошо.

                        Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.

                        Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа. А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.

                        Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?

                        Думаю что нет, за ненадобностью. Если не совсем антиквариат, то драйвер под свежую винду обычно есть.

                        А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.

                        Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

                        Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена.

                        Пробовал kubuntu. Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте. Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

                        Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком. А wine у меня и нет вовсе.

                        Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».

                        Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?

                        См комментарий выше.


                        1. 0xd34df00d
                          01.12.2017 00:37

                          А надо чтоб работало хорошо.

                          Мне вот тоже надо быть богатым, здоровым и чтоб на это время и силы не нужно было тратить. Но увы.

                          Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа.

                          Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?

                          А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.

                          Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.

                          Впрочем, как вы там говорите? Это у вас из серии «у меня в иномарке фара перегорела», да?

                          Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

                          А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.

                          Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте.

                          И в чём эта нетестированность заключается?

                          Да и по-вашему получается, что я, красноглазый гентушник, вообще должен на баг за багом спотыкаться из-за нетестированности. Ан нет.

                          Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

                          Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.

                          Я убунту не перевариваю почти так же, как Windows, например.

                          Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».

                          Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.


                          1. Londoner
                            01.12.2017 02:07

                            Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?

                            Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

                            Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.

                            ЧЯДНТ

                            А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.

                            В научной среде — да, в коммерции — doc[x] и ppt, увы…

                            И в чём эта нетестированность заключается?

                            К сожалению, сейчас не вспомню. Год назад поставил кубунту, поплевался и снёс, ощущения запомнил.

                            Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.

                            Вот Майкрософт с его гигантскими ресурсами не смог тянуть два дистрибутива Windows — 95/98/Millenium и NT3.51-2000, смёрджил их в один. Ну а у сообщества, конечно, силы тянуть 100500 дистрибутивов найдутся…

                            Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.

                            Я примеров тут привёл много. Если разница не видна, то что я ещё могу сказать. Для того чтобы начались изменения, надо признать проблему. А многие в сообществе эту проблему не признают. Потому линукс на десктопах по прежнему занимает несколько процентов рынка.

                            Кстати, вот, почитайте, если мне не верите.


                            1. monah_tuk
                              01.12.2017 20:28

                              Кстати, а зачем вам вообще Linux? Меня, к примеру, всё устраивает в нём уже… почти 18 лет. Есть и косяки от которых плеваться хочется, но факт остаётся фактом: они есть везде. Просто разные. Нужно просто научиться пользоваться плюсами (если они имеют место быть для конкретного человека) и избегать минусов :)


                              PS кстати, это так же и для эмиграции верно :)


                    1. BeppeGrillo
                      01.12.2017 11:22

                      Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

                      certification.ubuntu.com/desktop

                      Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                      Работать не будет потому что виндовс костыльное говно а драйверы соответствуют и используют грязные хаки и недокументированные возможности.
                      По той же причине не работает вайн.
                      А для начала стоит хотя бы починить безнадёжно глючный Unity

                      Ну во первых у меня например он не глючил кроме самой первой версии.
                      Во вторых, с разморозкой вас! Проект Unity закрыт давно.
                      Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

                      Зачем?
                      Меня вот всё устраивает и не дай бог кто-то вздумает слить мой КДЕ с вонючим гномом.
                      Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

                      А причём тут оперативная система?
                      Майкрософт выпустила SQL Server для линукс, заставьте её выпустить и ворд раз вам так надо.
                      Мне вот не надо, либреофис устраивает.

                      В научной среде — да, в коммерции — doc[x] и ppt, увы…

                      Приватбанк, Ситилинк и Улмарт видимо недостаточно коммерческие.

                      ОС нужна чтоб ездить, а не чтоб чинить

                      Ну вот я на ней езжу, ЧЯДНТ?

                      Все ваши претензии суммируются как «сделайте как виндовс и приложения чтоб виндовс и драйверы и офис тоже майкрософт и политику развития дистрибутивов смените как у майкрософт».
                      Ну и идите с такими хотелками в ваш обожаемый виндовс.


                    1. monah_tuk
                      01.12.2017 20:21

                      Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                      Кстати, для WiFi так и сделано. Точнее имеется возможность. Гуглить ndiswrapper. Временами работало лучше нативного на Asus EeePC 1000HA, потом нативный стал лучше. Но… это очень сложно, особенно учесть все недокументирванные возможности и прочее. Даже если не касаться драйверов, вон Wine сколько пилят и проблемы были есть и будут.


        1. kafeman
          29.11.2017 23:47

          Дело не в «500 человек в Canonical не смогли за десять лет до нормального состояния допилить», а в том, что у нее другая целевая аудитория. У меня сейчас стоит Fedora, ее же разработчиками позиционируется не как самая безопасная ОС на свете. Но при этом даже в мелочах постоянно замечаешь подобные различия:

          Хочешь установить пакет? Ubuntu делает это сразу, иногда спрашивает подтверждение, которое по-умолчанию означает «Да». Fedora спрашивает подтверждение постоянно, и случайное нажатие Enter приводит к отмене операции, потому что по-умолчанию «Нет».

          Хорошо, пакет установлен. Пускай это был какой-нибудь Apache. Он уже работает? В Ubuntu ответ «да», потому что она автоматически запускает все только что установленные сетевые серверы, еще и прописывая их в автозагрузку. В Fedora ответ «нет» — как можно запустить сетевой сервер, не ознакомившись со стандартным конфигом? Только после этого вы его запустите, убедитесь, что все работает как надо, и добавите в автозагрузку.

          «Ой, я все добавил, а сайт не открывается!» В обоих ОС есть своя оболочка со свистоперделками вокруг iptables / netfilter. Вот только в Ubuntu по-умолчанию разрешено абсолютно все (iptables -L возвращает пустой список с Chain INPUT (policy ACCEPT)), а в Fedora наоборот запрещено.

          ОК, настроили firewall, решили раздавать файлы с внешнего диска. Что, опять не работает? Все верно, SELinux стоит на страже ваших данных. Пока вы не проставите соответствующие метки на свои файлы, Apache'у будет access denied на уровне ядра. В Ubuntu тоже есть какое-то свое решение (AppArmor), но я не слышал, чтобы у кого-то реально были с ним подобные проблемы (может, он там вообще отключен? не в курсе).

          И это, напомню еще раз, не серверный дистрибутив. Могли ли «500 человек в Canonical» сделать все то же самое? Думаю, да. Но тысячи, если не миллионы хомячков тут же начали бы ныть на каждом углу, что «Ubuntu отстой», там вообще ничего не работает, ну ее нафиг, поставлю Windows и буду сидеть под админиским аккаунтом без антивируса.


          1. Londoner
            30.11.2017 00:03

            Идея, что всё работает из коробки, не плоха, особенно для аудитории Убунты. Плохо когда у Убунты вайфай раз в неделю отваливается без причины или когда Unity неожиданно схлопывается.


  1. FreeManOfPeace
    29.11.2017 07:30

    Прям как в Windows XP в старые времена, когда учётка Администратор была скрыта и активирована по умолчанию, а вход осуществлялся если удерживать клавишу Shift при загрузке, тем самым переключится на старое меню входа и ввести Администратор

    Спойлер
    image


    1. VEG
      29.11.2017 11:26

      Пароль для администратора явно задавался при установке.


      1. FreeManOfPeace
        29.11.2017 18:56

        1. Многие его не задавали, я лично при первых установках не мог понять что это за администратор такой.
        2. Ещё во времена ХР цвели говносборки, но это уже совсем другая история, там и похлеще дыры были.
        В общем «взломать» ХР среднего пользователя таким способом было вполне реально.


        1. Am0ralist
          29.11.2017 21:22

          После того, как мой друг, будучи из отдела обслуживания сети, воспроизвел это на машине операторов колцентра одного федерального провайдера — админам дали таких люлей)
          Так что не только пользователей…


        1. VEG
          29.11.2017 21:35

          Многие искренне считают что обновления ставить не нужно и даже вредно. Вина ли это Windows?

          Я лично всегда задавал этот пароль. И смотрел с недоумением на то, что некоторые отсутствующий пароль у администратора выдавали за косяк Windows, когда на самом деле это был косяк того кто ставил систему. Надо хоть немного смотреть то, что инсталлятор спрашивает тебя, вместо «не глядя покликал по кнопкам Next и Accept».

          Инсталлятор чётко говорит, что создаст учётку Администоратора, с помощью которой можно будет получить полный доступ к компьютеру, и просит пароль для неё. Даже если не обращаться к документации за подробностями, эту учётку можно было увидеть, например, хотя бы раз загрузившись в безопасный режим, где она предлагается среди прочих.


          1. alexr64
            29.11.2017 21:46

            +1


          1. FreeManOfPeace
            30.11.2017 22:01

            Ну я всё равно не понимаю, почему тогда не отключать этого администратора если пароль не задан (что и стали делать в Vista и выше), всё равно первый пользователь который создаётся в системе имеет равные с тем администратором права, для чего было плодить лишнюю сущность?
            Впрочем на безопасность моего компа незаданность пароля тогда слабо влияла, ибо на обычной учётке пароль тоже не стоял.


          1. monah_tuk
            01.12.2017 20:31

            Тут имеет место быть косяк установщика, который пустой пароль пропускал. Если бы не пропускал и пользователи бы фигачили 1 или qwerty, то это были бы уже точно их проблемы :)


  1. m1ld
    29.11.2017 08:13

    Всю жизнь макоси пользователь с паролем, а бывает иначе?
    Делаю по инструкции из вашей статьи – ничего не происходит, чяднт?


    1. vixs
      29.11.2017 10:17

      Надо поставить курсор в поле ввода пароля перед нажатием кнопки разблокировки.


      1. m1ld
        29.11.2017 12:08

        vixs да, теперь сработал.


  1. xi-tauw
    29.11.2017 09:30

    Пиар, такой пиар.
    Вот твит на 9 дней раньше: https://twitter.com/jeremydmiller78/status/932687502053380097
    Вот сообщение на форуме Apple от 13 ноября https://forums.developer.apple.com/thread/79235 (сообщение от chethan177, Nov 13, 2017 12:48 PM)


    1. AlphaStream Автор
      29.11.2017 15:43

      Это прекрасно! Спасибо за ссылки, добавлю в пост.


      1. Pilat
        29.11.2017 17:37

        Вы ещё добавьте, почему в форуме появился этот совет. Зачем вообще chethan177 написал инструкцию.


  1. beatleboy
    29.11.2017 10:08

    Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
    sudo passwd -u root

    Сделал так, выставив пароль, но ничего не изменилось, все также пускает с пустой строкой. Ждем обновлений


    1. calg0n
      29.11.2017 10:42

      Это вестимо какая-то эппло-индусская приблуда над суперпользователем которая этим суперпользователем и управляет, и в ней уязвимость. С su/sudo по идее всё ок.


    1. maxlazar
      29.11.2017 10:48

      значит, не выставили. у меня на 2 машинах помогло.


    1. AlphaStream Автор
      29.11.2017 15:52

      beatleboy Хм, интересно. А su/sudo пускают без пароля/с пустым паролем?


  1. sopov
    29.11.2017 10:08

    High Sierra, единственный пользователь с паролем. Просит ввести пароль для пользователя, с пустым паролем не пускает, на root никак не сменить. ЧЯДНТ?


    1. Finesse
      29.11.2017 10:16

      Нужно в настройках пользователей, во вкладке «Параметры входа» указать «Показывать в окне входа» «поля имени и пароля», затем выйти из системы или перезагрузить компьютер.


      1. EvilHedgehog
        29.11.2017 11:04

        Я — Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
        Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
        Заранее благодарен за понимание и сотрудничество.


  1. yul
    29.11.2017 11:40
    -1

    Это, конечно, фейл, но всё-таки такие вещи надо сначала в саппорт отправлять, а не сразу в твиттер.


    1. alexoron
      29.11.2017 12:25

      Одиночные случаи в саппорте не так быстро исправляют как сотни и тысячи жалоб публично.
      После такого «публичного позора» они просто ОБЯЗАНЫ тут-же все выпустить обновление как минимум сегодня.
      А ведь Стиви на небесах тоже ждет исправление.


      1. kraamis
        29.11.2017 13:47

        Скорее в аду.


        1. Dr_Dash
          30.11.2017 05:49

          Не исключено, что имеет место квантовая запутанность, и он одновременно и на небесах и в аду, и мы этого не узнаем, пока не пронаблюдаем. Научный поход, ничего личного.


  1. bo883
    29.11.2017 12:28

    Я попробовал у себя, у меня не прокатывает данный трюк. Не при входе в систему, не так как описано здесь.


  1. bo883
    29.11.2017 12:39

    Это по сути не уязвимость а расхлябанность пользователей которые не задают пароль для root. Сами виноваты.


    1. RaymanOne
      29.11.2017 15:57

      А если root пользователь отключен и не используется? Это тоже пользователь виноват?


      1. bo883
        29.11.2017 17:04

        Как он может быть отключен? МакОС линух подобная система, на уровне рута много что работает.


        1. BeppeGrillo
          29.11.2017 17:11

          логин в него отключён


          1. bo883
            29.11.2017 17:18

            Что значит?

            логин в него отключён


            Из под рута можно войти всегда, может имелось виду авторизация при входе в систему


            1. BeppeGrillo
              29.11.2017 17:56

              Что значит?
              логин в него отключён

              Команда su root не работает, авторизация при входе в систему тоже.
              В убунту также.


            1. aulandsdalen
              29.11.2017 18:08

              Ох уж эти линуксоиды. Это не "линукс-подобная" ОС. Это Unix-подобная ОС. Это разные вещи. Торвальдс еще только изучал программирование, а Nextstep — предок macOS — уже существовал и далеко не в первом релизе.


              Из под рута можно войти всегда

              Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.


              1. bo883
                29.11.2017 18:30

                По поводу «линукс-подобная» неправильно выразился, вы правы Unix подобная, но это не меняет в данном контексте разговора(линух так же unix подобная система).

                Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.

                тут можно поспорить но, каждый останется при своем…

                Зы: Ох уж эти маководы, блин я один из вас, вот блин))


                1. aulandsdalen
                  29.11.2017 19:11

                  тут можно поспорить но, каждый останется при своем…

                  Я сейчас написал абзац про то, что я вот сдавал экзамен Support Essentials, а вы вряд ли и все такое, но потом подумал, что это все не нужно и пустое.


                  Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.


                  1. bo883
                    29.11.2017 19:55

                    Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?
                    ЗЫ: и не нужно загибать пальцы, это не имеет смысла


                    1. aulandsdalen
                      01.12.2017 11:31

                      — Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
                      — тут можно поспорить но, каждый останется при своем…
                      — Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
                      — Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?


                      Действительно, что?


        1. RaymanOne
          29.11.2017 18:16
          -1

          Отключение root user


          1. bo883
            29.11.2017 19:55

            Я в курсе.


        1. andreylartsev
          29.11.2017 23:41

          Нет, нет, не надо таких сравнений Линус Торвальдс тут не причём. Некоторые за такие сравнения и обидеться могут.
          Darwin а позднее OS/X а ещё позднее снова macOS построен на ядре FreeBSD, настоящем Unix-е )
          Хотя надо признать выбрали его как основу OS скорее из за лицензии, так как BSD лицензия позволяет не раскрывать код производных продуктов.


          1. tsabir
            01.12.2017 00:25

            Ядро у мака свое, окружение от FreeBSD, не путайте


  1. BubaVV
    29.11.2017 14:16

    image


  1. alexr64
    29.11.2017 15:58

    Осталось массово скирпичить айфоны и можно расходиться…


  1. NotCompletelyStupid
    29.11.2017 15:58

    У меня эта уязвимость не воспроизводится. Возможно из-за того что обновлялся до High Sierra с предыдущей версии.


  1. sergius_the_black
    29.11.2017 15:58

    Вот тут
    написано, что форма ввода пароля не просто вводит, а сбрасывает пароль рута, если пользователь не активен.
    Кстати, можно также сбросить пароль без sudo. Так что все юзеры маков — потенциально админы)


    1. bo883
      29.11.2017 17:06

      У меня изначально установлен root пароль, и все попытки повторить описанные не увенчались успехом. Форма не сбрасывает у пароль


  1. konovalov_nik
    29.11.2017 15:58

    Remote версия через File Sharing по SMB demo


    1. AlphaStream Автор
      29.11.2017 16:15

      Я правильно понимаю, что если File Sharing включен, но никаких папок не расшарено и никаких пользователей не добавлено, то File Sharing вообще не должен предоставлять никакого доступа?


      1. konovalov_nik
        29.11.2017 18:22

        Думаю да. Или хотя бы показывать пустой список того, что можно монтировать, но никак не весь диск.


        1. konovalov_nik
          29.11.2017 18:55

          Все оказалось чуть сложнее. Чуть позже опишу.


    1. IGHOR
      29.11.2017 17:08

      С какой macOS подключались в целевую?
      Я проверил с macOS High Sierra в High Sierra (свежеустановленную) SMB запрашивает логин и пароль, где пустой пароль не срабатывает.

      PS: проверил на других macOS, тоже не подключаются, на видео включен гостевой доступ без пароля. Так что тут все верно.


      1. konovalov_nik
        29.11.2017 18:29
        +1

        На обоих маках 10.13.1 Гостевой доступ точно выключен, однако у меня закралось подозрение, что Mac как-то знает что с обоих сторон одинаковый appleid, возможно меня пускает именно поэтому. Сейчас не возможности проверить для разных appleid.


  1. awoland
    29.11.2017 16:17

    При Джобсе такой хфигни не было…


    1. zloddey
      29.11.2017 16:47

      Наверно, он сам тестировал этот случай руками


  1. IGHOR
    29.11.2017 17:00

    Подтверждаю, баг есть только на High Sierra.
    В UI macOS срабатывает только если фокус/курсор в поле ввода пароля.
    Если включен общий доступ к файлам то в шару, SMB/AFP/FTP/SFTP из-под root, не пускает.
    И если включен удаленный вход, то по SSH из-под root тоже не подключиться.
    Так что, все не так печально, для эксплуатации уязвимости нужен физический доступ.


    1. awoland
      29.11.2017 18:01

      А вот здесь показано обратное…


      1. IGHOR
        29.11.2017 18:06

        Я там уже ответил. Если пароль не спрашивает значит гостевой доступ включен.
        У меня есть все версии macOS установленные и не тронутые.
        Часто такие видео делают для накрутки просмотров, или может владелец просто не знал что у него включен гостевой доступ без пароля.


  1. vagonovozhaty
    29.11.2017 19:25

    Залатали уже
    Расходимся.


  1. fukkit
    29.11.2017 19:48

    Эпол, хватит, пожалей!..


  1. NotCompletelyStupid
    29.11.2017 20:33

    А вот и официальное обновление подоспело:
    image


    1. kafeman
      29.11.2017 23:55

      «Обновлен. безопасности» — при Джобсе такого не было! :-) Еще и с хинтингом какие-то проблемы.


      1. nidalee
        30.11.2017 08:54

        Да уж. Как будто для двух букв места не хватит…


  1. vasyakrg
    30.11.2017 05:29

    блин, да что-ж такое?..
    проверил у себя, так же со второго клика — ключ с настроек снимается.
    через sudo passwd -u root — проблема решилась.
    но как же так?..
    версия: Бета 10.13.2 (17C79a)


    1. vasyakrg
      30.11.2017 06:17

      на втором ноуте, сначала обновился до Бета 10.13.2 (17C83a), потом проверяю — и опять ключик открылся без проблем.
      ждем updates…