В компьютерах Apple нашли «грубейшую и постыдную» уязвимость

Дефект в оперативной системе MacOS High Sierra позволяет получить доступ к компьютеру без пароля, а также открывает права администратора.

«Мы работаем над программным обновлением, чтобы решить этот вопрос», — сообщила компания.

Неисправность была обнаружена турецким разработчиком Леми Эргином.

Он выяснил, что, если ввести в поле для имени пользователя слово root, а пароль оставить пустым, то при нажатии клавиши «ввод» несколько раз можно получить неограниченный доступ к компьютеру.

Эргина раскритиковали за то, что он, предположительно, не последовал правилам, которые обычно в таких случаях выполняют специалисты в области компьютерной безопасности.

По этим правилам, экспертам необходимо известить компанию об обнаруженном в её продукте дефекте, чтобы у неё было достаточно времени исправить ошибку, прежде чем афишировать её общественности.

Эргин ничего не ответил на высказанные в его адрес упреки в «Твиттере», и Би-би-си не удалось с ним связаться.

Компания Apple не ответила, знала ли она о неисправности перед тем, как об этом стало широко известно.

Учитывая возможности, открывшиеся в результате дефекта, эксперты поразились простоте этой «грубейшей и постыдной», по их словам, неисправности.

Доступ к полномочиям суперпользователя даёт выход к гораздо большим возможностям системы, в числе которых доступ к файлам других пользователей на том же компьютере и их запись. Суперпользователь также может стереть критические системные файлы, что выведет компьютер из действия, или установить вредоносные программы, которые обычные программы по обеспечению безопасности могут не обнаружить.

К счастью, неисправностью нельзя воспользоваться удалённо, из-за чего злоумышленнику пришлось бы получить физический доступ к компьютеру. Но если кто-то получит удалённый доступ к компьютеру при помощи других средств, то сможет использовать неисправность в своих целях.

Компании теперь нужно срочно выпустить обновление, которое не позволит злоумышленникам воспользоваться уязвимостью.

«Спешка и безопасность не дружат. Им [Apple] нужно быть осторожными, чтобы исправление дефекта не принесло дополнительных проблем, потому что у разработчиков не было достаточно времени, чтобы все проверить», — рассказал преподаватель Университета Суррея в Британии Алан Вудвард.

Пока Apple работает над решением, компания предложила выход для пользователей, которых тревожит наличие уязвимости.

«Пароль на корневую директорию не позволит получить кому-либо доступ к вашему компьютеру. Чтобы его установить, следуйте инструкции https://support.apple.com/en-us/HT204012», — сообщила компания.

Если вы не чувствуете себя уверенно с подобными манипуляциями, эксперты дают простой совет — не выпускайте свой компьютер из вида и установите обновление, как только оно появится.