Mac OS High Sierra root賬戶漏洞問題

我的個人空間yegail

問題描述

“使用者不需要密碼，只需輸入使用者名稱“root”即可進入系統。Mac OS High Sierra的這一嚴重漏洞能夠讓任何人獲得Mac系統的根訪問許可權。”

網上很多對這個漏洞的描述，我覺得不夠準確。具體地說，這個漏洞只會發生在啟用了root使用者的Mac電腦上。未啟用root使用者你輸再多次root，點在多次“解鎖”都不會發生。

我10月份才拿到的新MacBookPro預設是沒有開起root使用者的，要是其他電腦也預設未開起root使用者，我想大多數人是不會去啟用root使用者的，也就不用那麼緊張。

復現問題

開啟root使用者的登入視窗會有多一個“其他”選項，如下圖：

IMG_1273.png

1. 點“其他”，使用者名稱輸入"root"，不輸入密碼就可以進入系統。若是第一次使用root使用者，就會跟其他設定了密碼的使用者第一次使用時一樣，系統會引導進行一些設定。

2. 點“客人使用者”，進入訪客模式，在任何需要輸入使用者名稱密碼的地方，使用者名稱輸入“root”，不輸入密碼，就可進行“登入”“解鎖”等操作。比例：“系統偏好設定”->“使用者與群組”->“點解鎖按鈕以進行更改”->使用者名稱輸入“root”，密碼為空就可解鎖。

臨時解決辦法

1. 禁用root使用者
   需要使用者通過第1種方式進入系統：

   1） 點“其他”，使用者名稱輸入"root"，不輸入密碼就可以進入系統；

   2） “系統偏好設定”->“使用者與群組”->單擊“登入選項”->點右邊“網路賬戶伺服器”的“加入”，在彈出的框上點“開啟目錄使用工具”；

   3） 在目錄實用工具的選單欄上點選“編輯”->點選“停用root使用者”，如下圖：

   
   
   

   WX20171130-111737@2x.png

2.更改Root密碼
上面的步驟走到3，可看到有“更改Root密碼”，點選輸入Root新密碼。

PS：“啟用Root使用者” 可以在任何有管理許可權的使用者啟用，
而“停用Root使用者”，若是已經登入了root使用者進行了系統設定，則只能登入root使用者進行禁用設定。

如有任何錯誤請您留言，非常感謝！