Hệ điều hành High Sierra chạy trên máy tính của Apple cho phép truy cập quyền quản trị mà không cần mật khẩu.
Được phát hiện bởi nhà phát triển Lemi Orhan Ergin, lỗ hổng mới trên macOS High Sierra được đánh giá rất dễ khai thác.
Người dùng mở System Preferences và chọn Users & Groups. Click vào biểu tượng ổ khoá ở góc dưới cửa sổ. Nhập tên tài khoản là "root" và để trống trường mật khẩu. Di chuyển con trỏ vào ô mật khẩu rồi bấm Enter vài lần.
Thực hiện các bước trên, bạn đã có thể truy cập vào máy tính với quyền quản trị cao nhất mà không cần mật khẩu. Lúc này, người dùng có mọi quyền thao tác trên thiết bị, kể cả đổi mật khẩu, tạo tài khoản mới với quyền administrator.
Lỗ hổng này có thể khai thác bằng nhiều cách khác nhau, tuỳ theo thiết lập của từng máy mục tiêu. Khi tắt chức năng mã hoá toàn bộ ổ đĩa, kẻ tấn công có thể tắt máy, đăng nhập thiết bị với quyền cao nhất. Tuy nhiên, cách này không thể khai thác khi máy đang tắt và khi màn hình được khoá.
Theo chuyên gia bảo mật Nguyễn Hồng Phúc, với lỗ hổng này thì biện pháp tốt nhất là người dùng nên chờ và cập nhật bản vá từ Apple. Trước đó, không nên cho mượn máy tính để tránh lộ thông tin cá nhân, tắt tính năng truy cập Guest User.
Theo Bảo Anh (VnExpress.net)
