En betydande säkerhetsrisk har upptäckts med macOS High Sierra, vilket potentiellt gör att alla kan logga in på en Mac med fullständiga rootadministrativa funktioner utan lösenord.

Detta är ett brådskande säkerhetsproblem, och även om en mjukvaruuppdatering bör komma för att lösa problemet snart, kommer den här artikeln i detalj hur du skyddar din Mac från detta säkerhetshål.

Viktig uppdatering: Apple har släppt säkerhetsuppdatering 2017-001 för macOS High Sierra för att fixa rotinloggningsfelet, ladda ner det nu. Om du kör macOS High Sierra, ladda ner uppdateringen så snart som möjligt till din Mac.

Vad är rotinloggningsfelet och varför spelar det någon roll?

För lite snabb bakgrund låter säkerhetshålet en person ange ‘root’ som användarnamn och sedan omedelbart logga in som root på Mac, utan lösenord. Den lösenordslösa rotinloggningen kan ske direkt med en fysisk maskin på den allmänna användarinloggningsskärmen som ses vid uppstart, från systeminställningarna som vanligtvis kräver autentisering, eller till och med över VNC och fjärrinloggning om de två sistnämnda fjärråtkomstfunktionerna är aktiverade. Alla dessa scenarier ger sedan full åtkomst till MacOS High Sierra-maskinen utan att någonsin använda ett lösenord.

Ett root-användarkonto ger högsta möjliga nivå av systemåtkomst på ett MacOS- eller något unix-baserat operativsystem, root ger alla funktioner för administrativa användarkonton på maskinen utöver obegränsad åtkomst till alla systemnivåer komponenter eller filer.

Mac-användare som påverkas av säkerhetsfelet inkluderar alla som kör macOS High Sierra 10.13, 10.13.1 eller 10.13.2 betaversioner som inte tidigare har aktiverat rootkontot eller ändrat lösenordet för ett rootanvändarkonto på Mac tidigare, vilket är den stora majoriteten av Mac-användare som kör High Sierra.

Låter illa, eller hur? Det är det, men det finns en ganska enkel lösning som kommer att förhindra att detta säkerhetsfel blir ett problem. Allt du behöver göra är att ställa in ett root-lösenord på den drabbade Macen.

Hur man förhindrar rotinloggning utan lösenord i MacOS High Sierra

Det finns två sätt att förhindra rotinloggning utan lösenord på en MacOS High Sierra-maskin, du kan använda Directory Utility eller kommandoraden. Vi täcker båda. Directory Utility är kanske enklare för de flesta användare eftersom det görs helt från det grafiska gränssnittet på Mac, medan kommandoradsmetoden är textbaserad och allmänt anses vara mer komplex.

Using Directory Utility för att låsa root

1. Öppna Spotlight på Mac genom att trycka på Kommando+Mellanslag (eller klicka på Spotlight-ikonen i det övre högra hörnet av menyraden) och skriv in "Directory Utility" och tryck på retur för att starta appen



2. Klicka på den lilla låsikonen i hörnet och autentisera med en administratörskontoinloggning



3. Dra nu ner "Redigera"-menyn och välj "Ändra rotlösenord..."



4. Ange ett lösenord för rootanvändarkontot och bekräfta och klicka sedan på "OK"



5. Stäng ut ur katalogverktyget

Om root-användarkontot ännu inte är aktiverat, välj "Aktivera rotanvändare" och ställ sedan in ett lösenord istället.

I huvudsak allt du gör är att tilldela ett lösenord till root-kontot, vilket innebär att inloggning med root kommer att kräva ett lösenord som det ska. Om du inte tilldelar ett lösenord för att roota på detta sätt, förvånansvärt nog, accepterar en macOS High Sierra-maskin en root-inloggning utan ett lösenord alls.

Använda kommandoraden för att tilldela ett rotlösenord

Användare som föredrar att använda kommandoraden i macOS kan också ställa in eller tilldela ett root-lösenord med sudo och det vanliga gamla passwd-kommandot.

1. Öppna Terminal-applikationen, som finns i /Applications/Utilities/
2. Skriv in följande syntax exakt i terminalen och tryck sedan på returtangenten:

sudo passwd root

3. Ange ditt administratörslösenord för att autentisera och tryck på retur
4. Vid "Nytt lösenord", ange ett lösenord du inte kommer att glömma, tryck på retur och bekräfta det

Se till att ställa in root-lösenordet till något du kommer ihåg, eller kanske till och med matcha ditt administratörslösenord.

Hur vet jag om min Mac påverkas av det lösenordsfria rotinloggningsfelet?

Det verkar bara macOS High Sierra-maskiner som påverkas av detta säkerhetsfel. Det enklaste sättet att kontrollera om din Mac är sårbar för root-inloggningsfelet är att försöka logga in som root, utan lösenord.

Du kan göra detta från den allmänna startinloggningsskärmen eller via valfri administratörsautentiseringspanel (klicka på låsikonen) som är tillgänglig i Systeminställningar som FileVault eller Users & Groups.

Sätt helt enkelt "root" som användare, skriv inte in ett lösenord och klicka på "Lås upp" två gånger - om felet påverkar dig kommer du att loggas in som root eller beviljas root-privilegier. Du måste trycka på "lås upp" två gånger, första gången du klickar på knappen "lås upp" skapar det root-kontot med ett tomt lösenord, och andra gången du klickar på "lås upp" loggar det in, vilket ger full root-åtkomst.

Bugget, som i grunden är en 0-dagars root-exploatering, rapporterades först till allmänheten på Twitter av @lemiorhan och har snabbt fått stor uppmärksamhet och uppmärksamhet i media på grund av den potentiella svårighetsgraden av påverkan. Apple är tydligen medveten om problemet och arbetar på en programuppdatering för att lösa problemet.

Påverkar rotinloggningsfelet macOS Sierra, Mac OS X El Capitan eller tidigare?

Det lösenordslösa rotinloggningsfelet verkar bara påverka macOS High Sierra 10.13.x och verkar inte påverka tidigare versioner av macOS och Mac OS X-systemprogramvaran.

Dessutom, om du tidigare hade aktiverat root via kommandoraden eller genom Directory Utility, eller ändrat root-lösenordet vid något annat tillfälle, skulle felet inte fungera på en sådan macOS High Sierra-maskin.

Kom ihåg att Apple är medvetet om det här problemet och kommer att utfärda en säkerhetsuppdatering inom en snar framtid för att åtgärda felet. Under tiden, gör dig själv en tjänst och ställ in eller ändra root-lösenordet på Mac-datorer som kör macOS High Sierra för att skydda dem från obehörig full åtkomst till maskinen och alla dess data och innehåll.