macOS登陆漏洞至少已存在数周 未引起重视

本周二安全专家曝出了macOS High Sierra 10.13存在严重安全威胁，即root账号密码为空的登陆漏洞，幸亏苹果第一时间就推送 macOS 安全更新，修复了root账号登陆漏洞。 人们不用太过惊讶苹果的反应速度，其实在本月中旬有人就在苹果开发者论坛提到过相关问题，当时苹果可能并未引起重视。

一位网友Ergin发布Medium读推分享了一则故事：“一周前我工作公司的IT员工在帮助我同事恢复本地管理员账号的时候，就发现了这一故障，他利用这一漏洞迅速恢复了账号权限。到了11月23日，公司的IT部门通知了苹果这一问题。他们还在苹果开发论坛上搜索了相关故障，发现在11月13日时就有人报告。但苹果并没有注意到。”

Ergin提到的苹果开发论坛相关故障报告帖实际上在 6月8日 就被发起了，一名用户在WWDC后更新至macOS High Sierra beta测试版本，他不明白为什么自己的管理员账号会变成标准账号。许多用户也反映遇到了相同的问题。 而在11月13日，chethan177网友回复了这个帖子，提供了一个解决方案，并利用了root登陆账户密码空白的漏洞。 这意味着这一漏洞被人发现已经至少有两周了，但并没有引起苹果和公众的注意。

随后，chethan177网友再次回复了这一帖子，称他当时并不知道这其实是一个安全漏洞，一切似乎只是巧合。他此前遭遇了更改Apple ID后，管理员账户莫名其妙变成普通账户的问题。他在苹果论坛上搜索了好久，尝试了所有方法都没奏效。在极度的失望下，自己居然发现只要把账号名变成ROOT，并且把密码留空就能得到最高权限。然后他恢复了自己账号的管理员权限，并且没有意识到这是一个安全漏洞。所以也没有向苹果报告。