Nous utilisons des cookies pour améliorer votre expérience.

MacBidouille

[Mise à jour] Une nouvelle faille de sécurité stupide sous High Sierra

Vous vous souvenez tous de la faille ou plutôt du bug stupide sous High Sierra qui affichait le mot de passe d'un volume chiffré à la place de son indice.
Un autre bug stupide a été découvert dans ce système d'exploitation par le développeur Lemi Ergin,

Pour le mettre en évidence il suffit de lancer les préférences Utilisateurs et groupes et au moment de rentrer le mot de passe, de taper root comme utilisateur, de cliquer dans le champ mot de passe et de valider. On aura le plein accès aux préférences pour créer par exemple un nouveau compte d'administrateur système et ainsi d'accéder à toutes les fonctions avancées de la machine.

Visiblement cela ne fonctionne que si l'on n'a pas configuré un mot de passe pour le compte root (super administrateur).

Apple a annoncé que ce problème sera corrigé dans une prochaine mise à jour mais on se demande s'il ne serait pas temps de revoir profondément les exigences de contrôle du code. Deux failles majeures en si peu de temps, cela fait beaucoup pour une société qui se targue tant de vouloir sécuriser les données de ses clients. Il faut croire que cette volonté est plus une tête de gondole dans un supermarché destinée à vendre qu'une réelle politique profondément ancrée dans sa philosophie.

Pour régler ce problème en attendant qu'Apple le fasse, voici le lien de la procédure pour activer l'utilisateur root officiellement et lui attribuer un mot de passe.
https://support.apple.com/fr-fr/HT204012

[MàJ] Une mise à jour de sécurité est disponible pour les machines concernées.

[MàJ 2] Ne vous précipitez pas sur cette mise a jour, elle semble provoquer un problème de partage de fichiers qui se trouve ne plus fonctionner comme avant. La seule manière d'y arriver est d'activer le "partage Windows" qui n'est pas idéal pour la sécurité.
Si vous n'avez pas encore fait la mise a jour, le mieux pour l'instant est sans doute de désactiver le compte root pour ne plus subir le bug et ne pas prendre de risques, puis d'attendre qu'ils corrigent de nouveau le problème :
https://forums.macrumors.com/threads/securi.../#post-25533750


Et voila la correction de la correction !
Lancer le terminal (dans le dossier Utilitaires) et copier coller la commande suivante :

sudo /usr/libexec/configureLocalKDC

https://support.apple.com/en-us/HT208317

Sondage

Comptez-vous acheter un nouvel iPhone ?