Coup de tonnerre hier soir sur la toile, le développeur Lemi Ergin a débusqué un énoooOOOOooorme bug de sécurité dans Mac OS High Sierra, le système d’exploitation Apple.
Il permet à partir de n’importe quel compte user, de choper un accès Root et donc de se créer un profil avec droits admin ou supprimer / éditer des profils existants.
Alors comment ça se passe ? Et bien pas besoin de code ou de manip complexe, il suffit de vous rendre dans les préférences système -> utilisateurs et groupes. Cliquez ensuite sur le petit cadenas en bas à gauche.
Et lorsque vous voyez la fenêtre d’authentification, mettez comme login « root » et laissez le champ mot de passe vide. Cliquez ensuite 2 fois de suite sur le bouton « Dévérouiller » et taaadaaaa, vous aurez l’accès root aux préférences d’utilisateurs et de groupes et vous pouvez faire toutes les modifs.
H-A-L-L-U-C-I-N-A-N-T
Eh oui, Apple n’a pas jugé utile de demander à l’utilisateur lors de l’installation de l’OS de paramétrer un mot de passe root. Donc le mot de passe root par défaut est vide.
Cela pourrait permettre à quelqu’un qui a un accès temporaire ou limité à un Mac de se créer discrètement un compte Admin sans aucun problème.
Hé ouais les gars d’Apple. Fallait pas vous contenter d’un bug bounty sur iOS uniquement mais l’étendre aussi à MacOS. Ça vous aurait évité une déculottée en public.
Alors pour patienter jusqu’à ce qu’Apple réagisse en dégainant un patch, vous pouvez « corriger » le souci en mettant un mot de passe au compte root de votre machine. Pour cela, ouvrez le terminal et entrez la commande suivante :
sudo passwd -u root
Et en attendant, n’abusez pas trop sur les blagues faites aux copains / collègues 😉
Apprenez à maîtriser Docker pour seulement 10€ jusqu’au 28/11
Envie de découvrir la plateforme Docker ? Cette nouvelle formation en ligne d’Udemy couvre tous les aspects du logiciel libre, des concepts de base jusqu’au déploiement sur un cluster Swarm.Maîtrisez entre autres le fonctionnement des containers Linux, la distribution des images via un registry, le provisionnement des hôtes Docker avec Docker Machine et le déploiement et la gestion des applications sur un Swarm.
En plus de la théorie, le cours comprend exemples et démos ainsi que des exercices pour pratiquer.La formation est destinée aux personnes déjà familières avec la ligne de commande et est accessible à vie sur desktop, mobile et télé.
[ad_2]
Source link