Apple phát hành bản vá lỗi bẻ khóa macOS, kèm lời xin lỗi

Hôm qua, Apple vừa phát hành bản cập nhật sửa lỗi trên macOS, cho phép tạo tài khoản root và đăng nhập mà không cần mật khẩu.

Không cần thủ thuật gì phức tạp, những gì bạn cần làm là điền tên người dùng là “root”, sau đó để trống phần mật khẩu trên màn hình đăng nhập máy Mac hoặc desktop chạy High Sierra, phiên bản macOS mới nhất của Apple.

Xem thêm: Việc bẻ khóa macOS High Sierra diễn ra như thế nào? Làm sao để ngăn chặn?

Apple đã gửi lời xin lỗi và nói rằng kể từ thứ Tư, bản cập nhật “được cài đặt tự động” trên tất cả các máy chạy bản mới nhất của High Sierra, 10.13.1. Người dùng cũng có thể tải bản cập nhật từ Mac App Store.

“Chúng tôi rất tiếc và gửi lời xin lỗi tới tất cả người dùng Mac vì lỗi này và vì những quan ngại mà nó gây ra. Khách hàng của chúng tôi xứng đáng với những điều tốt đẹp hơn”, người đại diện của Apple nói.

Apple đã nhanh chóng khắc phục lỗi và gửi lời xin lỗi người dùng

“Kẻ tấn công có thể qua mặt xác thực mà không cần mật khẩu”, trang về bảo mật của Apple viết. “Lỗi logic nằm trong việc xác thực và đã được khắc phục”. Apple cũng xác nhận rằng chỉ có máy macOS High Sierra mới bị ảnh hưởng.

Lý do khiến Apple khắc phục vấn đề chỉ trong 24 giờ là do lỗi này khiến người dùng có khả năng gặp nhiều rủi ro nghiêm trọng. Trên các hệ thống Unix như macOS, “root” là quyền người dùng cao nhất, có khả năng thay đổi bất cứ thứ gì trên hệ điều hành.

“Khi ai đó đăng nhập vào máy Mac bằng quyền root thì họ có thể làm bất cứ thứ gì, kể cả truy cập file, cài spyware... Nói cách khác, chỉ cần không để mắt tới máy Mac 30 giây, ai đó có thể chiếm quyền và dùng nó về sau”, nhà nghiên cứu bảo mật trên máy Mac Thomas Reed cho hay.

Nguyên nhân của lỗi này cũng được Patrick Wardle, giám đốc nghiên cứu tại Synack trình bày rõ ràng tại đây. https://objective-see.com/blog/blog_0x24.html