macOS High Sierra dính lỗ hổng bảo mật nghiêm trọng

Thanh Niên Online

Đánh giá tác giả

Các máy Mac chạy phiên bản High Sierra (macOS 10.13.1 hoặc cao hơn) đang đối diện một lỗ hổng nghiêm trọng, có thể cho phép bất cứ ai có quyền root truy cập vào hệ thống mà không cần mật khẩu.
Người dùng máy Mac chạy phiên bản macOS 10.13.1 trở về sau đang đối diện với lỗ hổng nghiêm trọng  /// Ảnh: AFP Người dùng máy Mac chạy phiên bản macOS 10.13.1 trở về sau đang đối diện với lỗ hổng nghiêm trọng - Ảnh: AFP
Người dùng máy Mac chạy phiên bản macOS 10.13.1 trở về sau đang đối diện với lỗ hổng nghiêm trọng
Ảnh: AFP
Theo PCMag, cách hack khá dễ dàng khi nó có thể được kích hoạt thông qua ứng dụng System Preferences của Mac khi Users & Groups được chọn, và biểu tượng khóa trên cửa sổ được nhấp. Sau đó, một cửa sổ đăng nhập mới sẽ xuất hiện. Bất kỳ ai gõ “root” làm tên người dùng, để trống trường mật khẩu và nhấp chuột mở khóa (một hoặc hai lần) là có các đặc quyền quản trị hệ thống máy tính.
Với những đặc quyền này, tài khoản có thể được sử dụng để sửa đổi phần còn lại của Mac và tra cứu mật khẩu truy cập keychain. Ngay cả sau khi khởi động lại, tài khoản root vẫn còn. Mặc dù có những lúc người dùng nhận thông báo lỗi xuất hiện ở màn hình đăng nhập của Mac nhưng nhìn chung không phải ai cũng gặp thông báo như vậy.
Nhà nghiên cứu an ninh của Cybereason - Amit Serper, cho biết đây được xem là lỗ hổng nghiêm trọng khi hacker luôn tạo ra phần mềm độc hại để tìm cách chiếm đặc quyền hệ thống máy tính. Bằng cách khai thác lỗ hổng này ngay cả với chức năng dòng lệnh của Mac, người dùng có thể đối diện với một loạt mã độc được gửi đến để khai thác lỗ hổng của Mac. Thậm chí, Serper cho rằng người dùng không hề biết hệ thống của họ đang đối diện với nguy hiểm.
Trong thông báo của mình, Apple cho biết công ty đang cập nhật phần mềm để giải quyết vấn đề. Công ty khuyến cáo việc thiết lập mật khẩu root có thể ngăn cản việc truy cập trái phép vào máy Mac.
Được biết, Apple chỉ phát hiện ra lỗi sau khi nó được công bố trên Twitter hôm 28.11 bởi thành viên có tên Lemi Orhan, điều mà giới bảo mật chắc chắn không hề mong muốn. Kỹ sư bảo mật Keith Hoodlet tại Bugcrowd cho rằng việc tiết lộ công khai như vậy có thể đưa người dùng vào nguy hiểm.

Bình luận

Gửi bình luận
Ý kiến của bạn sẽ được biên tập trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu
  • Tối thiểu 10 chữ
  • Tiếng Việt có dấu
  • Không chứa liên kết

VIDEO ĐANG XEM NHIỀU