Apple MacOS High Sierra sisältää vakavan haavoittuvuuden. Kuka tahansa, joka pääsee käsiksi High Sierran kirjautumisikkunaan, jossa kysytään käyttäjänimeä ja salasanaa voi kirjautua järjestelmään yksinkertaisesti kirjoittamalla käyttäjätunnukseksi “root” ilman salasanaa. Tämä toimii järjestelmän sisäänkirjatumisikkunassa, jos koneella on useampia käyttäjiä. Haavoittuvuus toimii myös järjestelmässä, jossa on vain yksi käyttäjä, jos tuo käyttäjä on kirjautuneena koneelle ja koneella yritetään avata mitä tahansa toimintoa, joka vaatii järjestelmän pääkäyttäjän oikeuksia (‘root’).

Käyttäjä pystyy korottamaan oikeuksiaan missä tahansa lukituksen aukaisua tai käyttöoikeuksien laajentamista pyytävässä kehotteessa kirjoittamalla käyttäjän kohdalle “root”, jättämällä salasanan tyhjäksi ja hyväksymällä kehotteen kahdesti. Useat haittaohjelmat hyödyntävät vastaavaa tapaa yrittäessään saada tietokoneeseen järjestelmänvalvojan oikeudet.

Jos käytössäsi on High Sierra, suosittelemme käyttäjän “root” kytkemistä päälle ja salasanan asettamista kyseiselle tunnukselle. Tämä toimii väliaikaisesti paikkana kyseiselle tietoturva-aukolle.

Apple on julkaissut virallisen päivityksen haavoittuvuuteen: https://support.apple.com/en-us/HT208315