V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 3072 days ago, the information mentioned may be changed or developed.
新浪科技讯 北京时间 11 月 29 日凌晨消息,苹果公司最新的 macOS 系统出现严重漏洞,用户仅输入“ root ”作为用户名即可进入系统,这意味着你不需要密码即可解锁进入一台安装了 macOS High Sierra 系统的苹果电脑。
全文: https://tech.sina.cn/it/2017-11-29/detail-ifypceiq5637306.d.html?wm=3049_0015
 |
1
neosfung Nov 29, 2017  3
为苹果这个良心企业点赞啊,让大家都学习到这么多操作系统的知识
对不起,我这个果粉都编不下去了 |
 |
2
ryan717 Nov 29, 2017
试了一下,没法这样解锁啊
|
|
3
ryan717 Nov 29, 2017
原来我之前已经禁用访客了
|
 |
4
lp10 Nov 29, 2017
root 密码是空的,去 Directory Utility 里面重设一下就好了
|
 |
5
tagtag Nov 29, 2017 2
确实可以,第一遍 root 输入任意密码,提示错误后删掉密码,直接 root 登陆,登陆成功,shit
|
 |
6
x86 Nov 29, 2017
根据 9To5Mac 建议,在苹果解决这个“ root ”问题之前,用户还是有规避此问题的方法,只需关闭访客账户即可。来自 Electronic Frontier Foundation 的 Kurt Opsahl 也提出了一个解决办法,即创建一个用户名为“ root ”的用户并给这个用户设置密码,这样就不会出现上述问题了
|
 |
8
jtshs256 Nov 29, 2017 via iPhone
升 PB 的时候确实 root 自动给启用了…还得自己去禁用…
|
 |
9
liz2nku Nov 29, 2017 via iPhone
还好我是 os x 用户
|
 |
10
byuan04 Nov 29, 2017 1
这都第几次了重大安全问题了....
之前提示框直接显示密码.. 这次更加直接...密码都不用了... |
|
11
tagtag Nov 29, 2017
sudo passwd root 设置一个密码或者
spotlight/Alfred->目录实用工具->解锁后在编辑中禁用 root |
 |
12
xuanboyi Nov 29, 2017 via iPhone
访客一直禁用,想不明白苹果莫名其妙总会升级后自己打开访客,root 默认是禁用的吗?
|
 |
13
jason19659 Nov 29, 2017
我的不行。。
|
 |
14
goodryb Nov 29, 2017
测试不行,禁用过访客账户
|
 |
15
panlilu Nov 29, 2017
花擦,傻逼了,直接 root 进来啥都能用了
|
 |
16
hekunhotmail Nov 29, 2017
试了一下,没法这样解锁啊
|
 |
17
469054193 Nov 29, 2017
羡慕有苹果电脑的
|
|
18
hekunhotmail Nov 29, 2017
1 输入 root
2 点击密码框 3 回车或者点击解锁 |
 |
19
zjuster Nov 29, 2017
访客我一直是禁止的。。。感觉侥幸了。
|
|
20
hekunhotmail Nov 29, 2017
@zjuster 禁止访客没用 按我说的步骤重现, 妥妥的
|
|
21
tagtag Nov 29, 2017
@hekunhotmail 确实禁用访客没用
|
 |
22
zeex Nov 29, 2017
真能解锁
|
 |
23
tyhunter Nov 29, 2017 1
尝试了下,禁用访客账户后问题仍然存在
只能 11L 下面这个方法中的第一个,给 Root 加密码,第二个方法我没找到 root 账户 sudo passwd root 设置一个密码 |
 |
24
QAPTEAWH Nov 29, 2017
比烂大赛苹果再得一分
|
 |
25
wkan Nov 29, 2017 via iPhone
抹盘重装的表示不行
|
|
27
tyhunter Nov 29, 2017
@jtshs256 我怀疑也是升 PB 时被自己启用了
看到 25L@wkan 说抹盘重装不行,我当初装 10.13 是抹盘的,但是升级到 10.13.1 是通过 PB 升级上来的 |
 |
28
p2pCoder Nov 29, 2017
这 bug 真刺激
|
 |
31
ZRS Nov 29, 2017
比较好奇以前的版本中存在这个问题吗 有没有还没升级试试的
|
 |
32
douglas1997 Nov 29, 2017
@p2pCoder 这 bug。。全是安全问题,真是受不了 Cook 了
|
|
33
jtshs256 Nov 29, 2017 via iPhone
@tyhunter 可能“升级”是触发条件,不一定是 PB 的问题…提到 PB 只是想说这个问题已经存在很很很久了竟然到现在才被扒出来…
|
 |
34
kikyous Nov 29, 2017 via Android
用户体验 max
|
|
35
tagtag Nov 29, 2017 1
近几年 Apple 对 macOS 的维护可以说是相当不上心了,本次更新除了 APFS 之外没什么特别的 feature,似乎是人手不够都投入在 iOS 上面了。
|
 |
36
b821025551b Nov 29, 2017
@ZRS #31 10.12.4 用户表示一切安好。
|
 |
37
NVDA Nov 29, 2017 via iPhone
真的是...这都第几次了,还都是这么让人无语的问题
|
|
38
xuanboyi Nov 29, 2017 via iPhone
|
 |
39
ynyounuo Nov 29, 2017 via iPhone
lol 感觉就像当年 Windows shift 粘滞进 system 权限一样
不过说过来,有点意识的话都会禁访客和加 root 密码的。这锅倒是苹果过一定得背。 |
 |
40
run2 Nov 29, 2017
呃 试过了 禁用 root 不管用, 再次输入 root 还是会被打开
只有给 root 设置密码,!再点禁用相当于密码也被清空了! |
 |
41
zj299792458 Nov 29, 2017 via iPhone
这个根本不是解锁界面,只是解锁设置,不知道你们说的解锁电脑是什么意思?锁屏情况下可以自己输入用户名 root ?
|
 |
42
clearbug Nov 29, 2017 via Android
大公司都不甘寂寞啊,总想是不是来个大新闻
|
 |
43
kingcos Nov 29, 2017 via iPhone 1
macOS 自暴自弃,MacBook 也特么……
真无力吐槽…就做个电脑和手机,一年就那么几款,还做不好…都去修新园区了嘛?! 实在是气… |
 |
44
atone Nov 29, 2017
大家不要慌,苹果的 QA 部门正在忙着往新园区搬家呢,等他们搬完了,一定就好了!😅
|
 |
46
est Nov 29, 2017 1
|
|
48
run2 Nov 29, 2017
@zj299792458 理论上可以解锁就可以登录,开了远程的话就可以用 ssh 了
|
 |
50
qsnow6 Nov 29, 2017 via iPhone 1
老祖宗留下来的财产要败光了
|
 |
51
viator42 Nov 29, 2017 via iPhone
大厂的软件也是越做越糙
|
 |
52
chyiz Nov 29, 2017
这新闻还在提访客账户……
!禁用访客账户没用! 一开始大家以为这个漏洞只会在提权的对话框出现,所以觉得禁用访客账户就行了。但是现在已经验证了登陆界面也有这个 bug !所以一定要改 root 密码! !禁用 root 用户也没用! 这个漏洞不是苹果忘了禁用默认的 root 账户,而是你尝试用 root 登陆,系统发现账号没启用,会自动启用,并且设置空密码。所以现在只能保持 root 启用,设一个复杂密码。 |
 |
53
zhlvting Nov 29, 2017
试了一下,先在目录实用工具里看了,root 用户是未开启的,然后在解锁界面,用 root 加空密码第一次登录时,不成功,但是貌似这个操作启用了 root 用户,第二次登录时就解锁成功了。然后再去目录实用工具里看,root 用户是开启的。看来只有改 root 密码的方法管用。
|
 |
55
ethusdt Nov 29, 2017
吓得我买了个三环锁
|
 |
58
zzNucker Nov 29, 2017
笑死我了
|
|
59
ethusdt Nov 29, 2017
https://twitter.com/reneritchie/status/935627307565355014
这里有个视频介绍如何防止此漏洞带来损失方法!!! <img src="http://o7bkcj7d7.bkt.clouddn.com/markdown/1511932870461.png" width="668"/> <img src="http://o7bkcj7d7.bkt.clouddn.com/markdown/1511932913808.png" width="541"/> <img src="http://o7bkcj7d7.bkt.clouddn.com/markdown/1511932949230.png" width="499"/> 然后设置上密码。 done |
|
60
ethusdt Nov 29, 2017
|
 |
61
NG6 Nov 29, 2017
26 版有、没
|
 |
63
jiao1998 Nov 29, 2017
还真的有这个问题,第一次 root 随便输入密码 提示失败,删了密码再登录,就进来了……
我看有人说是 PB 版本的问题,我从来没用过 PB,也是这个问题。 看来真的得给 root 弄个密码去了 这漏洞太扯淡了 |
|
64
ethusdt Nov 29, 2017
图片加不上。。 还是参考我的微博吧。
https://weibo.com/2949335311/FxjU9xqUE?type=comment#_rnd1511933679986 |
 |
65
AZLisme Nov 29, 2017
为什么我怎么尝试都没有。我是 macOS High Sierra。
root 用户无法解锁系统啊 |
 |
67
ideascf Nov 29, 2017
惊喜啊
|
 |
68
fishg Nov 29, 2017
有 bug 多正常的事
|
|
69
zj299792458 Nov 29, 2017 via iPhone
@hekunhotmail 两台 mac 都不行……这是在哪解锁的?
|
 |
70
253874 Nov 29, 2017
root 有密码也不行,要重设 root 密码
|
 |
71
icyalala Nov 29, 2017
蠢得不行的 bug。。。哈哈哈。。。
|
 |
72
liuzhedash Nov 29, 2017
@hekunhotmail #18
可以 确实是这样 |
 |
73
Errpt Nov 29, 2017
登录界面上如果是用户列表,不让用户填写用户名应该就没法突破了吧。
|
 |
74
mcfog Nov 29, 2017 1
@Errpt
1. 物理接触你电脑的人可以 2. 如果你开了远程桌面的话可以 3. 最重要的是,因为可以通过 applescript 做到一样的事情,所以任何软件都可以 osascript -e 'do shell script "id" with administrator privileges user name "root" password ""' |
 |
75
yeeli Nov 29, 2017
第一次会失败, 多点几次就成功了
|
 |
76
crayhuang Nov 29, 2017
真的能解锁~ 厉害了
|
 |
77
palxex Nov 29, 2017
这个真重复不出来。楼上的 applescript 报 0:79: execution error: 管理员用户名或密码不正确。 (-60007)
|
 |
78
nasaboy Nov 29, 2017
等更新了
|
 |
79
hljjhb Nov 29, 2017
这个 BUG 真的是太蠢了 笑得不行
|
 |
80
7colcor Nov 29, 2017
想起一位大佬的话
 |
 |
81
grayon Nov 29, 2017
发现在未启用 root 帐号的情况下,用 root 解锁,会自动开启 root 帐号,并把当前输入的密码设置为 root 帐号的密码
如果是启用状态才会验证密码 所以目前的解决方案是开启 root 帐号并设置密码 https://support.apple.com/kb/PH6515?locale=zh_CN&viewlocale=zh_CN 对比之前的系统,在验证权限时密码错误的情况下慢了很多,不知是不是有未关闭的 debug 逻辑 |
 |
82
zcwlwen Nov 29, 2017
我设置过 root 密码了
|
|
83
mcfog Nov 29, 2017 via Android
@palxex 第二次就解开了,bug 就在第一次报失败后会自动启用 root 用户且密码置空。gui 或者 cli 症状是一样的都是失败一次后第二次成功
|
 |
84
princesslovelove Nov 29, 2017 via iPhone
为什么我的不行,有什么秘诀吗? Version 10.13 ,guest off。
|
 |
85
qfdk PRO humm 去天才吧 去试试 rm - rf / chmod -R 666 /
|
 |
86
nine99 Nov 29, 2017
apple 越来越垃圾了
|
 |
87
7zki Nov 29, 2017
我来大概总结一下
单独禁用访客用户是不行的, 还是可以用 root 访问; 所以参考楼上几位的解决方法 1: 禁用访客 2:sudo passwd root 3:Spotlight 搜索目录实用工具,解锁,然后选择菜单栏的编辑,禁用 root 用户。 实测经此方案,root 无法登陆。 macOS 10.13.1    |
 |
88
colorfulberry Nov 29, 2017
我曾经给 root 设置了密码的,进不去哈哈哈哈
|
|
89
7zki Nov 29, 2017
看到楼上有 V 友说用 root 账户登陆失败后系统会启用 root 账户,我重启了一次重新用 root 登陆,无法登陆。
但是进入系统后发现 root 又被启用了,我禁用后,重启了几次,root 无法登陆,但是这几次进系统后 root 没有被启用。 无法复现第一次的情况了,奇怪。 |
 |
90
oxoxoxox Nov 29, 2017
10.13 复现不了
是不是只有 10.13.1 才有这个 bug 啊? |
 |
91
puritania Nov 29, 2017
能不能把阿三程序员全给开了? 废物
|
 |
93
weixiangzhe Nov 29, 2017 via iPhone
等出 14 在升 13
|
 |
94
xrlin Nov 30, 2017
与 bug10 并驾齐驱了。
|
|
95
mcfog Nov 30, 2017 via Android
@7zki 就我白天的测试来看,禁用 root 后(无论之前是否设密码)再在解小锁的输入框里用 root 空密码 /osascript 尝试一次 root 空密码后虽然会第一次会失败,但 root 账户会被打开,再试一次就又拿到 root 权限了,访客是禁用的
|
 |
98
OscarUsingChen Nov 30, 2017
|
 |
99
liuminghao233 Nov 30, 2017 via iPhone
这个是 feature
|
 |
100
sunyang Nov 30, 2017
这是被印度人占领了嘛, 保持这个软件质量, 不出五年 就没人记得苹果了.
|
Select Language