macOS登陸漏洞至少已存在數周 未引起重視

本周二安全專家曝出了macOS High Sierra 10.13存在嚴重安全威脅，即root賬號密碼為空的登陸漏洞，幸虧蘋果第一時間就推送 macOS 安全更新，修複了root賬號登陸漏洞。 人們不用太過驚訝蘋果的反應速度，其實在本月中旬有人就在蘋果開發者論壇提到過相關問題，當時蘋果可能並未引起重視。

一位網友Ergin發布Medium讀推分享了一則故事：“一周前我工作公司的IT員工在幫助我同事恢複本地管理員賬號的時候，就發現了這一故障，他利用這一漏洞迅速恢複了賬號權限。到了11月23日，公司的IT部門通知了蘋果這一問題。他們還在蘋果開發論壇上搜索了相關故障，發現在11月13日時就有人報告。但蘋果並沒有注意到。”

Ergin提到的蘋果開發論壇相關故障報告帖實際上在 6月8日 就被發起了，一名用戶在WWDC後更新至macOS High Sierra beta測試版本，他不明白為什麼自己的管理員賬號會變成標準賬號。許多用戶也反映遇到了相同的問題。 而在11月13日，chethan177網友回複了這個帖子，提供了一個解決方案，並利用了root登陸賬戶密碼空白的漏洞。 這意味著這一漏洞被人發現已經至少有兩周了，但並沒有引起蘋果和公眾的注意。

隨後，chethan177網友再次回複了這一帖子，稱他當時並不知道這其實是一個安全漏洞，一切似乎隻是巧合。他此前遭遇了更改Apple ID後，管理員賬戶莫名其妙變成普通賬戶的問題。他在蘋果論壇上搜索了好久，嚐試了所有方法都沒奏效。在極度的失望下，自己居然發現隻要把賬號名變成ROOT，並且把密碼留空就能得到最高權限。然後他恢複了自己賬號的管理員權限，並且沒有意識到這是一個安全漏洞。所以也沒有向蘋果報告。