Сегодня Apple выпустила Обновление безопасности 2017-001 для устранения серьезной уязвимости, позволяющей получить доступ к учетной записи суперпользователя root с пустым паролем на любом Mac под управлением macOS High Sierra версии 10.13.1.

Эта критическая ошибка, привлекшая внимание после того, как она была опубликована разработчиком Леми Эргином в Твиттере вчера, позволяет любому получить права администратора, просто введя имя пользователя «root» и оставив поле пароля пустым в разделе «Системные настройки» > «Пользователи и группы».

Обновление безопасности сейчас доступно в Mac App Store, и всем пользователям macOS High Sierra рекомендуется установить его как можно скорее. Тем не менее, начиная с сегодняшнего дня, Apple заявила, что обновление безопасности будет автоматически установлено на всех Mac под управлением macOS High Sierra 10.13.1.

Apple принесла извинения за уязвимость в заявлении, опубликованном изданию MacRumors:

Безопасность является высшим приоритетом для каждого продукта Apple, и, к сожалению, мы оступились с этим выпуском macOS.

Когда наши инженеры по безопасности узнали о проблеме во вторник днем, мы немедленно начали работу над обновлением, которое закрывает дыру в безопасности. Сегодня утром, по состоянию на 8 часов утра, обновление доступно для загрузки, и начиная с сегодняшнего дня оно будет автоматически установлено на всех системах, работающих под управлением последней версии (10.13.1) macOS High Sierra.

Мы глубоко сожалеем об этой ошибке и приносим извинения всем пользователям Mac как за выпуск с этой уязвимостью, так и за вызванное ею беспокойство. Наши клиенты заслуживают лучшего. Мы проводим аудит наших процессов разработки, чтобы помочь предотвратить повторение подобных случаев.

Уязвимость не затрагивает macOS Sierra или любую другую предыдущую версию операционной системы.