Найдена уязвимость в Mac OS High Sierra, позволяющая войти суперпользователем в незащищенный компьютер

    Был опубликован твит, согласно которому можно получить привелегии суперпользователя, если в окошке System Preferences > Users & Groups открыть любого пользователя, щелкнуть на замке, после чего указать root в качестве пользователя и оставить пароль пустым. Несколько (sic!) кликов по Unlock «убеждают» MacOS в необходимости предоставить права суперпользователя.

    Уязвимость была экспериментально подтверждена множеством пользователей.

    Что еще хуже, данный трюк работает на экране входа в систему.

    image
    Скриншот из твита

    Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:

    sudo passwd -u root

    и задать суперпользователю нескучный пароль (источник). Есть так же способ сделать то же самое, но через GUI.

    Update


    По информации ресурса TechCrunsh, Apple выступила со следующим заявлением касательно произошедшего:
    We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.
    Мы работаем над обновлением, которое исправит данную проблему. Пока оно не вышло, для предотвращения несанкционированного доступа к вашему компьютеру следует задать пароль на root, инструкция доступна здесь. Если пользователь root уже активен, нужно убедиться, что пароль не является пустым.


    Update 2


    О проблеме было известно и раньше (спасибо пользователю xi-tauw):
    Твит от 20-го ноября не получил должной огласки.
    — Apple не обратила внимание на сообщение на их собственном форуме от 13-го ноября.

    Update 3


    Указанный выше способ так же работает, если пароль на root задан, но сам суперпользователь отключен. Вывод — не следует отключать root после установки пароля.
    Спасибо пользователю sergius_the_black за полезную ссылку.

    Update 4


    Меньше, чем через сутки, Эпл выпустила патч, устраняющий данную уязвимость.
    Спасибо vagonovozhaty за ссылку.
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама
    Комментарии 149
    • +21

      Действительно, можно войти в полноценное рабочее пространство под root, используя пустой пароль. Давно я не встречал таких эпичных уязвимостей.

      • +2
        в 98 винде помню можно было просто закрыть окно логина и спокойно работать
        • 0
          это был Эпик.
          но там простительно, ибо пароль был не от системы, а от приставленной сбоку примочки поддержки многопользовательского входа.
      • 0
        А тем, кто не перешел на HIgh грозит что-нибудь?
        • 0
          Уязвимость подтверждена только на High Sierra. Данных о попытках воспроизвести баг на предыдущей версии (Sierra) мало, и они отрицательные.
          • +1

            У некоторых людей (включая меня) баг вообще не воспроизводится. Значит есть более вменяемое решение кроме включения логина у рутового аккаунта.

            • +3
              У вас тоже воспроизводится. Надо поставить курсор в поле ввода пароля перед нажатием кнопки разблокировки.
            • +1

              У меня на Sierra не воспроизводится.

              • 0
                У меня на High Sierra тоже не воспроизводится из окна Users & Groups.
            • +5

              При обновлении на что-нибудь выше sierra сделайте бекап всех данных и выключите шифрование(file vault которое). У меня после перехода непостижимым образом хард оказался зашифрован намертво — раздел без пароля не монтируется, а пароль не проходит. Что-то там пошло не так из-за apfs и конвертации в него.
              И теперь у меня все данные лежат на внешнем харде и ждут вызволения. Только вот когда apple решит проблему и решит ли вообще — не понятно
              Я понимаю, что вы после этого поста вряд ли будете обновляться, просто решил предупредить и подкинуть ещё одну причину, что бы не устанавливать обновление

              • –5

                У меня обновление прошло успешно, все данные целы. Правда я не использовал шифрование диска.

                • +7
                  Обновлялся с зашифрованым диском и все работает исправно
                  • +5
                    Аналогично, два макбука обновил до High Sierra с включенным шифрованием, проблем не было.
                    • +1
                      Обновлял с включённым щифрованием, получил рассинхронизацию паролей. У одного пользователя в разных местах были разные пароли: два при загрузке, третий в консоли. Отключил потом шифрование, с горем пополам все пароли синхронизировал, но теперь шифрование нельзя включить — баг High Sierra.
                      • 0

                        У меня тоже проблем не было, до определённого момента. Просто как-то пришёл на работу, открыл ноут, и внезапно получил описанную проблему.

                    • +1
                      Я обновился на второй день после выхода системы. Установка прошла нормально. Но дальше окна логина система меня не захотела пускать, висла намертво. Пришлось с нуля ставить на отформатированный диск. Данные были утеряны, благо весь код на git. Фотки в облаке. Но день все равно был потерян.
                      • 0

                        У меня так же установка прошла без эксцессов. Даже 2 обновления – 10.13 и 10.13.1 и при этом проблема сразу не проявилась, просто в какой-то момент утром ноут не стартанул. В сервисе уже сделали дамп на отдельный хард и переустановили систему.
                        А вообще эта проблема с apfs лотерея, как я понял – кто-то не испытывает вообще никаких проблем, у кого-то процесс установки застывает на середине, у кого-то после установки начинаются проблемы. Нам с вами, видимо, "повезло" больше всех

                        • 0
                          А backup из Timemachine? Перед мажорным обновлением крайне рекомендуется его делать, тогда восстановить данные не проблема
                        • 0
                          У меня с шифрованием проблем к счастью не возникло, но при обновлении система ушла в вечный цикл перезагрузки. Вылечилось по совету с эпловского форума путем запуска утилиты проверки и восстановления диска. Очень неудачный апдейт конечно, читал про полностью потерянные данные.
                        • +1

                          Проблема в том, что ХС поставляется изначально без пароля на рут. Задайте пароль на рута и забудете про сабж

                          • 0

                            Остается понять, зачем было сбрасывать рут пароль

                        • 0

                          Система принимает root и пустой пароль не только на экране входа в систему и настройках пользователей, но и в любом другом окне ввода логина и пароля в любом приложении.

                          • 0
                            Не в любом: su в консоли не принимает.
                          • +17
                            Порадовало что не сразу, а только если много раз покликать… Прям как в том анекдоте про китайцев и Пентагон.
                            • 0
                              Достаточно одного клика, если до этого кликнуть на поле пароля (вводить пароль не надо). Проверено на 10.13.1
                              • 0
                                Не не работает. Окно логина дрыгается. А вот на второй unlock срабатывает.
                              • 0
                                У меня также срабатывает если вместо клика многократно enter нажать
                                • 0
                                  Множественный клик не требуется.
                                  • +2
                                    Для не слышавших о таком анекдоте
                                    Китайцы взломали сервер Пентагона. Вот как это было:
                                    1. Каждый китаец попробовал один пароль.
                                    2. Каждый второй пароль был «Мао Цзедун»
                                    3. На 74357181-й попытке сервер согласился, что у него пароль «Мао Цзедун».
                                    • –2
                                      • Пусти
                                      • Не пущу
                                      • Ну пусти
                                      • Не пущу
                                      • Нуу пустиии
                                      • Ладно, заходи
                                    • 0
                                      держу пари, количество рутовых паролей «maodzedun» в мире маководов стремительно выросло
                                    • +16
                                      Два крупных факапа по безопасности меньше чем за полгода. Apple, ты там нормально?
                                      • 0
                                        они взяли все на себя в этом году )) догнать и перегнать
                                        • 0
                                          А можно подробней про первый? Как гуглить, где читать?
                                          • 0
                                            Уязвимость позволяла любому ПО таскать пароли из keychain. Гуглить по «keychain vulnerability».
                                            • 0
                                              Спасибо, почитал.
                                              • +2
                                                Тогда 3, было ещё отображение пароля в поле для подсказки…
                                          • +2
                                            оу, сорри, мы занимались более важными делами — внедрением анимированных какашек
                                          • +8
                                            Да, в номинации «самый эпичный удар по безопасности»-2017 уверенно побеждает Apple )
                                            • –14
                                              Всё, хватит! Ушёл ставить Убунту…
                                              Кстати, какой из десктопных линуксов самый надёжный?
                                              Только не надо про Дебиан — например, планшетный сканер под ним после всех плясок так и не заработал, в Убунте завёлся из коробки. Но Убунта глючит в куче других мест.
                                              • +4
                                                Mint — почти все работает, все что не работает — решается за пять минут в гугле
                                                • –8
                                                  Минт? Ну не знаю… Помню как несколько лет назад там была проблема десктоп залочить. Даже если и пофиксили с тех пор, репутация испорчена навсегда. Есть по-настоящему надёжные дистрибутивы?
                                                  • +4
                                                    Если так говорить — то все дистры плохие. Софта без багов не бывает, это закон природы.
                                                    • –4
                                                      Это понятно, что не бывает. Но тут диву даёшься, а сами разработчики этим скопищем жуков пользуются?
                                                      • +1
                                                        Вы про какую ОС? Любая ОС сложнее калькулятора- сборище багов и неочевидного поведения.
                                                        • –2
                                                          Я про Убунту, Минт и прочие. А про баги — безусловно. Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна. Вот доведите десктопный линукс хотя бы до такого уровня.
                                                          • 0
                                                            Однако, например, у Майкрософта со всеми его багами, во всех версиях, от NT3.51 до XP десктоп не вываливался раз в неделю, погребая под собой все процессы, как это делает Unity, мышь не скакала по экрану как угорелая, вайфай, принтер и сканер заводились из коробки без бубна.

                                                            Да вы обладаете прямо фантастической везучестью или идеальным нюхом на беспроблемное железо. Я хоть и фанат XP, но признаю, что у неё тоже бывают проблемы, она требует бубен для некоторых вещей, и иногда даже мне показывала синий экран.
                                                • +1
                                                  Самый надёжный наверное Tails :)
                                                  • 0

                                                    Попробуйте Elementary OS. В основе лежит Ubuntu, а сверху разработчики делают что-то похожее на osx

                                                    • –3
                                                      А она надёжная? Или как кривая Убунта?
                                                    • 0
                                                      Если брать широко распространенные дистрибутивы, то основанные на RHEL, на мой взгляд, безопаснее на дефолтных настройках, чем основанные на Debian. Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.
                                                      • +1
                                                        Хотя никто не мешает вам допилить ту же Ubuntu до нормального состояния, конечно.

                                                        Ну да, 500 человек в Canonical не смогли за десять лет до нормального состояния допилить, а я один за вечер конечно смогу :)
                                                        • 0
                                                          Canonical занимается в большинстве своем «охомячковыванием» дебиана. Выпилить потенциально-деструктивные разрешения из sudoers не составит труда, при желании.
                                                          • 0
                                                            Пожалуйста, не подменяйте понятия — мы сейчас говорим о надёжности, а не о безопасности.
                                                            • 0
                                                              Я вот тоже не понял, что вы имеете ввиду. Вопрос про надежность в комментариях новости про root'а без пароля подразумевает безопасность, на мой взгляд. В таком случае, это в корне меняет мой ответ, данный выше. Пускай Debian не самый безопасный из коробки, но со своими 50000 морально устаревшими пакетами может считаться одним из самых протестированных. Только не удивляйтесь софту десятилетней давности.
                                                              • 0
                                                                Да, новость про безопасность. Но мой вопрос именно про надёжность, ведь чтоб пользоваться десктопным Линуксом нужна не только безопасность (тут всё довольно неплохо, как минимум, по сравнению с другими ОС), но и надёжность. А на Дебиане мне так и не удалось запустить планшетный сканер.
                                                                • 0
                                                                  Если вам не удалось — это не значит что нет возможности. Возможно стоит подумать над самообразованием?
                                                                  • 0
                                                                    Мне кажется, отвечать логикой АвтоВАЗа — не самая лучшая идея. ОС нужна чтоб ездить, а не чтоб чинить. Мне не интересно становиться глубоким специалистом в допиливании хромых дистрибутивов линукса или починке карбюратора в жигулях, я лучше освою знания, которые принесут мне больший доход.
                                                                    • 0
                                                                      Только в случае автомобилей вам таки неплохо бы выучиться на права, а не просто купить их.

                                                                      Глубоким специалистом становиться не обязательно, достаточно покупать железо под ОС, благо последние лет 5-10 это делать не так уж сложно даже в случае с линуксом. А примеры, скажем, USB WiFi-донглов, намертво вешающие тогда ещё Windows 7, у меня тоже есть.
                                                                      • 0
                                                                        Можно я перефразирую Ваш ответ?

                                                                        «Карбюратор в жигулях не работает — значит права купил»

                                                                        «Авослесарем становиться не обязательно, надо было в автосалоне правильные жигули выбрать, чтоб без брака, это не сложно»

                                                                        «А у соседа, в иномарке фара перегорела, и колесо спустило, нифига они не лучше жигулей»
                                                                        • 0
                                                                          Перефразировать можно, но у вас не получилось именно перефразировать.
                                                                      • 0
                                                                        Не можете починить карбюратор? Вызывайте эвакуатор до СТО.
                                                                        • 0
                                                                          Есть вариант получше — купить машину, не требующую частых поездок на эвакуаторе.
                                                                          • 0
                                                                            Можно и купить.
                                                                            • 0
                                                                              Можно всё то же самое (без поддержки и сертификации) на халяву
                                                                              • 0
                                                                                Это для тех, кто в карбюраторы сам умеет.
                                                                                • 0
                                                                                  А разве Centos не точная копия RHEL за исключением брендинга?
                                                                                  • 0
                                                                                    Эвакуатор не включен в стоимость.
                                                                                    • 0
                                                                                      Это не есть проблема, если машинка не ломается каждый день.
                                                                            • 0
                                                                              Для любой машины найдутся юзкейсы, когда поездки на эвакуаторе потребуются часто.
                                                                      • +1
                                                                        А на Дебиане мне так и не удалось запустить планшетный сканер.

                                                                        Если производитель не сделал нормальный драйвер для Линукс то виноват Линукс. Если производитель не сделал нормальный драйвер для Виндоус то виноват производитель.
                                                                        Л — Логика!
                                                                        • 0
                                                                          Не совсем так. Майкрософт убедил производителей в том, что стоит писать драйвера под Windows. Серверный Линукс завоевал популярность именно надёжностью, поэтому к любым серверам есть линуксовые драйвера. Да, в силу эффекта курицы и яйца десктопному линуксу сложнее убедить производителей писать драйвера под Линукс.

                                                                          Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                                                                          Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать "FuThank you Nvidia". Чтоб потребитель мог, условно говоря, прийти в магазин, и сказать продавцу «хочу видеокарту и сканер из вот этого списка». Глядишь, производители железа начнут чесаться. А производители софта портировать софт.

                                                                          А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?
                                                                          • 0
                                                                            Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                                                                            В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.

                                                                            Или, на худой конец, создать наподобие distrowatch единый реестр устройств, к которым есть линуксовые драйвера, а не просто прокричать один раз кричать «FuThank you Nvidia».

                                                                            Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.

                                                                            Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?

                                                                            А производители софта портировать софт.

                                                                            А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.

                                                                            А для начала стоит хотя бы починить безнадёжно глючный Unity и допилить wine, или тут тоже драйвер виноват?

                                                                            Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена. Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком.
                                                                            А wine у меня и нет вовсе.

                                                                            Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?
                                                                            • 0
                                                                              В общем случае оно будет работать медленно и костыльно, если будет работать вообще. А для вайфая в своё время такое было, впрочем, см. ndiswrapper.

                                                                              А надо чтоб работало хорошо.

                                                                              Для аудиокарт на сайте alsa такое было, для сканеров (лет 10 назад, когда я покупал сканер в последний раз) было, для принтеров тоже. Собственно, последний купленный мной принтер (а на самом деле — какой-то первый попавшийся струйный МФУ от HP за 80 баксов) просто работает под линуксом без всяких танцев с бубном, даже автоматический податчик бумаги в сканер работает.

                                                                              Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа. А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.

                                                                              Есть, кстати, какой-то единый реестр устройств, где написано, какая минимальная и максимальная версия Windows их поддерживает?

                                                                              Думаю что нет, за ненадобностью. Если не совсем антиквариат, то драйвер под свежую винду обычно есть.

                                                                              А какого софта вам на домашней машине не хватает? Это я ради личной статистики, если что.

                                                                              Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

                                                                              Ну, у меня вместо Unity — KDE. Там есть свои глюки, например, через пару месяцев аптайма кед иногда отваливается буфер обмена.

                                                                              Пробовал kubuntu. Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте. Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

                                                                              Другое дело, что пара месяцев аптайма для Windows — куда большая проблема, да и для перезапуска кед мне не нужно перезапускать всю машину целиком. А wine у меня и нет вовсе.

                                                                              Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».

                                                                              Кстати, на одном из рабочих мест был у меня Windows (служивший запускалкой терминала до нормальных машин с линуксом, но неважно), который корпоративными политиками перезагружался каждые выходные. И каждый понедельник мой (и не только мой) рабочий день начинался с того, чтобы постоять раком под столом, вытаскивая и вставляя обратно USB-кабель от клавиатуры, потому что иначе по какой-то неведомой причине не действовали настройки скорости повторения клавиш. У соседа мониторы были по DP подключены, и когда один из них переходил в спящий режим, система его теряла и перекидывала все окна на основной монитор. Куда и про какие хромые дистрибутивы Windows писать в этом случае?

                                                                              См комментарий выше.
                                                                              • 0
                                                                                А надо чтоб работало хорошо.

                                                                                Мне вот тоже надо быть богатым, здоровым и чтоб на это время и силы не нужно было тратить. Но увы.

                                                                                Надо чтоб был централизованный и обновляемый список, а не обрывки по отдельному типу железа.

                                                                                Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?

                                                                                А вот у меня всякий раз чтоб что-то напечатать в Убунте на HP1018, надо перезагрузить принтер, удалить принтер из системы и добавить заново, иначе никак.

                                                                                Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.

                                                                                Впрочем, как вы там говорите? Это у вас из серии «у меня в иномарке фара перегорела», да?

                                                                                Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

                                                                                А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.

                                                                                Да, KDE понадёжнее Unity, но аудитория kubuntu на порядок меньше чем у ubuntu, соответственно куча софта из репозиториев тестирована на убунте и не тестирована на кубунте.

                                                                                И в чём эта нетестированность заключается?

                                                                                Да и по-вашему получается, что я, красноглазый гентушник, вообще должен на баг за багом спотыкаться из-за нетестированности. Ан нет.

                                                                                Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

                                                                                Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.

                                                                                Я убунту не перевариваю почти так же, как Windows, например.

                                                                                Извините, но это из серии «у соседа в иномарке фара перегорела и колесо спустило, так что нифига они не лучше жигулей, а кондиционером я вообще не пользуюсь».

                                                                                Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.
                                                                                • 0
                                                                                  Зачем? Вы принтеры вместе с внешними звуковыми картами покупаете, что ли?

                                                                                  Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

                                                                                  Страннота. У меня лет 8 со мной прожила сестринская модель 1020, работала просто шикарно.

                                                                                  ЧЯДНТ

                                                                                  А, я для сих целей latex/beamer использую. Ну, чтоб не было стыдно сделать презентацию, которую можно было бы показать на семинаре или reading group.

                                                                                  В научной среде — да, в коммерции — doc[x] и ppt, увы…

                                                                                  И в чём эта нетестированность заключается?

                                                                                  К сожалению, сейчас не вспомню. Год назад поставил кубунту, поплевался и снёс, ощущения запомнил.

                                                                                  Такого никогда не будет, и, более того, это и не нужно. У разных дистрибутивов свои цели.

                                                                                  Вот Майкрософт с его гигантскими ресурсами не смог тянуть два дистрибутива Windows — 95/98/Millenium и NT3.51-2000, смёрджил их в один. Ну а у сообщества, конечно, силы тянуть 100500 дистрибутивов найдутся…

                                                                                  Ну, в принципе, удобно и комфортно считать всякую проблему в Windows проблемой уровня перегоревшей фары, а в линуксах — не иначе как неработающим с завода карбюратором.

                                                                                  Я примеров тут привёл много. Если разница не видна, то что я ещё могу сказать. Для того чтобы начались изменения, надо признать проблему. А многие в сообществе эту проблему не признают. Потому линукс на десктопах по прежнему занимает несколько процентов рынка.

                                                                                  Кстати, вот, почитайте, если мне не верите.
                                                                                  • 0

                                                                                    Кстати, а зачем вам вообще Linux? Меня, к примеру, всё устраивает в нём уже… почти 18 лет. Есть и косяки от которых плеваться хочется, но факт остаётся фактом: они есть везде. Просто разные. Нужно просто научиться пользоваться плюсами (если они имеют место быть для конкретного человека) и избегать минусов :)


                                                                                    PS кстати, это так же и для эмиграции верно :)

                                                                                    • 0
                                                                                      Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

                                                                                      А не надо гуглить обрывки по форумам, все эти списки вполне себе централизованы.

                                                                                      ЧЯДНТ

                                                                                      Не, просто делюсь своими впечатлениями. Может, убунтушные/гномовые/юнитивые обёртки над CUPS криво работают, не знаю.

                                                                                      В научной среде — да, в коммерции — doc[x] и ppt, увы…

                                                                                      docx — окей, пусть так (хотя все мои потребности уровня наваять заявление в вуз покрывались не то что либрой, а google docs, и у родителей, занимающихся какой-то коммерцией, стоит либра и есть не просит).
                                                                                      Но ppt — какая разница? Или там принято прямо исходники рассылать, чтобы кто-то что-то подправить мог?

                                                                                      К сожалению, сейчас не вспомню. Год назад поставил кубунту, поплевался и снёс, ощущения запомнил.

                                                                                      Жаль. Хотя, конечно, против такого аргумента не попрёшь.

                                                                                      Вот Майкрософт с его гигантскими ресурсами не смог тянуть два дистрибутива Windows — 95/98/Millenium и NT3.51-2000, смёрджил их в один.

                                                                                      Это не два разных дистрибутива, а два разных ядра, одно из которых свою задачу (завоевать кусочек рынка домашних десктопов) выполнило и могло отправиться на покой.

                                                                                      Во всех дистрибутивах линусов одно ядро одного и того же линукса.

                                                                                      Ну а у сообщества, конечно, силы тянуть 100500 дистрибутивов найдутся…

                                                                                      А для этого сил не так много надо в среднем, на самом деле. Опыт показывает, что та же маргинальная гента совсем не разваливается. И лично мне как гентопользователю очень бы не хотелось, чтобы весь выбор дистрибутивов ограничивался условным дебианом, убунтой и рхелом, мне там неудобно.

                                                                                      Для того чтобы начались изменения, надо признать проблему. А многие в сообществе эту проблему не признают.

                                                                                      Кроме признания проблемы нужна ещё и оценка её приоритетности, а вот тут уже и нужны сравнения с карбюраторами других машин.

                                                                                      Потому линукс на десктопах по прежнему занимает несколько процентов рынка.

                                                                                      А это, ну, плохо? Зачем вот конкретному мне нужно, чтобы он занимал 10-20-50-90%? Какой мне прок от того, что линуксом будет пользоваться каждая вторая домохозяйка, если от неё патча или даже багрепорта не дождёшься?

                                                                                      Ну, игры не выпускают, да. Ну, у меня для этого последние лет семь рядом с рабочей машиной стоит игровая машина чуть послабже, на которой я во все эти баттлфилды-каловдутия-DCS играю. Вот если бы дрова не выпускали, это было бы печальнее, конечно, но, к счастью, поддержка железа последние лет 10 отличная, что у десктопных компонент, что у необходимой периферии вроде принтеров-сканеров, что у ноутбуков (я их последние лет 10 покупаю почти вслепую, и везде линукс заводится, местами даже лучше винды — добиться немыльных шрифтов на заводской винде на Lenovo T560 с 3к-экраном и 125% DPI я не смог, равно как и аналогичной настроенному линуксу продолжительности жизни от батареи больше суток).
                                                                              • +1
                                                                                Затем что про этот список, лежащий и обновляемый на едином сервере, будут все помнить, как про дистроуотч. А не гуглить обрывки по форумам.

                                                                                certification.ubuntu.com/desktop

                                                                                Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                                                                                Работать не будет потому что виндовс костыльное говно а драйверы соответствуют и используют грязные хаки и недокументированные возможности.
                                                                                По той же причине не работает вайн.
                                                                                А для начала стоит хотя бы починить безнадёжно глючный Unity

                                                                                Ну во первых у меня например он не глючил кроме самой первой версии.
                                                                                Во вторых, с разморозкой вас! Проект Unity закрыт давно.
                                                                                Это кстати, к дискуссии о том, что стоит прекратить почкование сотен болденосов с десятком десктопов и допилить всем сообществом пару-тройку дистрибутивов.

                                                                                Зачем?
                                                                                Меня вот всё устраивает и не дай бог кто-то вздумает слить мой КДЕ с вонючим гномом.
                                                                                Допиленный офисный пакет, чтоб презентацию и документы, сделанные в нём не стыдно было показать важному клиенту. Пока что, по сравнению с вордом и пауэрпойнтом, то что есть, это слёзы.

                                                                                А причём тут оперативная система?
                                                                                Майкрософт выпустила SQL Server для линукс, заставьте её выпустить и ворд раз вам так надо.
                                                                                Мне вот не надо, либреофис устраивает.

                                                                                В научной среде — да, в коммерции — doc[x] и ppt, увы…

                                                                                Приватбанк, Ситилинк и Улмарт видимо недостаточно коммерческие.

                                                                                ОС нужна чтоб ездить, а не чтоб чинить

                                                                                Ну вот я на ней езжу, ЧЯДНТ?

                                                                                Все ваши претензии суммируются как «сделайте как виндовс и приложения чтоб виндовс и драйверы и офис тоже майкрософт и политику развития дистрибутивов смените как у майкрософт».
                                                                                Ну и идите с такими хотелками в ваш обожаемый виндовс.
                                                                                • 0
                                                                                  Но тогда, может быть, придумать универсальный windows drivers integration layer, позволяющий одним кликом установить под Линуксом любой виндовозный драйвер?

                                                                                  Кстати, для WiFi так и сделано. Точнее имеется возможность. Гуглить ndiswrapper. Временами работало лучше нативного на Asus EeePC 1000HA, потом нативный стал лучше. Но… это очень сложно, особенно учесть все недокументирванные возможности и прочее. Даже если не касаться драйверов, вон Wine сколько пилят и проблемы были есть и будут.

                                                                      • 0
                                                                        Дело не в «500 человек в Canonical не смогли за десять лет до нормального состояния допилить», а в том, что у нее другая целевая аудитория. У меня сейчас стоит Fedora, ее же разработчиками позиционируется не как самая безопасная ОС на свете. Но при этом даже в мелочах постоянно замечаешь подобные различия:

                                                                        Хочешь установить пакет? Ubuntu делает это сразу, иногда спрашивает подтверждение, которое по-умолчанию означает «Да». Fedora спрашивает подтверждение постоянно, и случайное нажатие Enter приводит к отмене операции, потому что по-умолчанию «Нет».

                                                                        Хорошо, пакет установлен. Пускай это был какой-нибудь Apache. Он уже работает? В Ubuntu ответ «да», потому что она автоматически запускает все только что установленные сетевые серверы, еще и прописывая их в автозагрузку. В Fedora ответ «нет» — как можно запустить сетевой сервер, не ознакомившись со стандартным конфигом? Только после этого вы его запустите, убедитесь, что все работает как надо, и добавите в автозагрузку.

                                                                        «Ой, я все добавил, а сайт не открывается!» В обоих ОС есть своя оболочка со свистоперделками вокруг iptables / netfilter. Вот только в Ubuntu по-умолчанию разрешено абсолютно все (iptables -L возвращает пустой список с Chain INPUT (policy ACCEPT)), а в Fedora наоборот запрещено.

                                                                        ОК, настроили firewall, решили раздавать файлы с внешнего диска. Что, опять не работает? Все верно, SELinux стоит на страже ваших данных. Пока вы не проставите соответствующие метки на свои файлы, Apache'у будет access denied на уровне ядра. В Ubuntu тоже есть какое-то свое решение (AppArmor), но я не слышал, чтобы у кого-то реально были с ним подобные проблемы (может, он там вообще отключен? не в курсе).

                                                                        И это, напомню еще раз, не серверный дистрибутив. Могли ли «500 человек в Canonical» сделать все то же самое? Думаю, да. Но тысячи, если не миллионы хомячков тут же начали бы ныть на каждом углу, что «Ubuntu отстой», там вообще ничего не работает, ну ее нафиг, поставлю Windows и буду сидеть под админиским аккаунтом без антивируса.
                                                                        • 0
                                                                          Идея, что всё работает из коробки, не плоха, особенно для аудитории Убунты. Плохо когда у Убунты вайфай раз в неделю отваливается без причины или когда Unity неожиданно схлопывается.
                                                                  • +1
                                                                    Прям как в Windows XP в старые времена, когда учётка Администратор была скрыта и активирована по умолчанию, а вход осуществлялся если удерживать клавишу Shift при загрузке, тем самым переключится на старое меню входа и ввести Администратор
                                                                    Спойлер
                                                                    image
                                                                    .
                                                                    Но такое, и в 2017…
                                                                    • +5
                                                                      Пароль для администратора явно задавался при установке.
                                                                      • 0
                                                                        1. Многие его не задавали, я лично при первых установках не мог понять что это за администратор такой.
                                                                        2. Ещё во времена ХР цвели говносборки, но это уже совсем другая история, там и похлеще дыры были.
                                                                        В общем «взломать» ХР среднего пользователя таким способом было вполне реально.
                                                                        • 0
                                                                          После того, как мой друг, будучи из отдела обслуживания сети, воспроизвел это на машине операторов колцентра одного федерального провайдера — админам дали таких люлей)
                                                                          Так что не только пользователей…
                                                                          • +1
                                                                            Многие искренне считают что обновления ставить не нужно и даже вредно. Вина ли это Windows?

                                                                            Я лично всегда задавал этот пароль. И смотрел с недоумением на то, что некоторые отсутствующий пароль у администратора выдавали за косяк Windows, когда на самом деле это был косяк того кто ставил систему. Надо хоть немного смотреть то, что инсталлятор спрашивает тебя, вместо «не глядя покликал по кнопкам Next и Accept».

                                                                            Инсталлятор чётко говорит, что создаст учётку Администоратора, с помощью которой можно будет получить полный доступ к компьютеру, и просит пароль для неё. Даже если не обращаться к документации за подробностями, эту учётку можно было увидеть, например, хотя бы раз загрузившись в безопасный режим, где она предлагается среди прочих.
                                                                            • +1
                                                                              +1
                                                                              • 0
                                                                                Ну я всё равно не понимаю, почему тогда не отключать этого администратора если пароль не задан (что и стали делать в Vista и выше), всё равно первый пользователь который создаётся в системе имеет равные с тем администратором права, для чего было плодить лишнюю сущность?
                                                                                Впрочем на безопасность моего компа незаданность пароля тогда слабо влияла, ибо на обычной учётке пароль тоже не стоял.
                                                                                • 0

                                                                                  Тут имеет место быть косяк установщика, который пустой пароль пропускал. Если бы не пропускал и пользователи бы фигачили 1 или qwerty, то это были бы уже точно их проблемы :)

                                                                          • 0
                                                                            Всю жизнь макоси пользователь с паролем, а бывает иначе?
                                                                            Делаю по инструкции из вашей статьи – ничего не происходит, чяднт?
                                                                            • 0
                                                                              Надо поставить курсор в поле ввода пароля перед нажатием кнопки разблокировки.
                                                                          • +2
                                                                            Пиар, такой пиар.
                                                                            Вот твит на 9 дней раньше: https://twitter.com/jeremydmiller78/status/932687502053380097
                                                                            Вот сообщение на форуме Apple от 13 ноября https://forums.developer.apple.com/thread/79235 (сообщение от chethan177, Nov 13, 2017 12:48 PM)
                                                                            • 0
                                                                              Это прекрасно! Спасибо за ссылки, добавлю в пост.
                                                                              • 0

                                                                                Вы ещё добавьте, почему в форуме появился этот совет. Зачем вообще chethan177 написал инструкцию.

                                                                            • 0
                                                                              Чтобы защитить свой компьютер от данной уязвимости, нужно активировать учетную запись root (конечно же, с непустым паролем). Наиболее простой из известных способов — выполнить в терминале следующую команду:
                                                                              sudo passwd -u root

                                                                              Сделал так, выставив пароль, но ничего не изменилось, все также пускает с пустой строкой. Ждем обновлений
                                                                              • 0
                                                                                Это вестимо какая-то эппло-индусская приблуда над суперпользователем которая этим суперпользователем и управляет, и в ней уязвимость. С su/sudo по идее всё ок.
                                                                                • 0
                                                                                  значит, не выставили. у меня на 2 машинах помогло.
                                                                                  • 0
                                                                                    beatleboy Хм, интересно. А su/sudo пускают без пароля/с пустым паролем?
                                                                                  • 0
                                                                                    High Sierra, единственный пользователь с паролем. Просит ввести пароль для пользователя, с пустым паролем не пускает, на root никак не сменить. ЧЯДНТ?
                                                                                    • 0

                                                                                      Нужно в настройках пользователей, во вкладке «Параметры входа» указать «Показывать в окне входа» «поля имени и пароля», затем выйти из системы или перезагрузить компьютер.

                                                                                      • +6
                                                                                        Я — Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
                                                                                        Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
                                                                                        Заранее благодарен за понимание и сотрудничество.
                                                                                    • –1
                                                                                      Это, конечно, фейл, но всё-таки такие вещи надо сначала в саппорт отправлять, а не сразу в твиттер.
                                                                                      • +2
                                                                                        Одиночные случаи в саппорте не так быстро исправляют как сотни и тысячи жалоб публично.
                                                                                        После такого «публичного позора» они просто ОБЯЗАНЫ тут-же все выпустить обновление как минимум сегодня.
                                                                                        А ведь Стиви на небесах тоже ждет исправление.
                                                                                        • 0
                                                                                          Скорее в аду.
                                                                                          • +1
                                                                                            Не исключено, что имеет место квантовая запутанность, и он одновременно и на небесах и в аду, и мы этого не узнаем, пока не пронаблюдаем. Научный поход, ничего личного.
                                                                                      • 0
                                                                                        Я попробовал у себя, у меня не прокатывает данный трюк. Не при входе в систему, не так как описано здесь.
                                                                                        • –4
                                                                                          Это по сути не уязвимость а расхлябанность пользователей которые не задают пароль для root. Сами виноваты.
                                                                                          • 0
                                                                                            А если root пользователь отключен и не используется? Это тоже пользователь виноват?
                                                                                            • –1
                                                                                              Как он может быть отключен? МакОС линух подобная система, на уровне рута много что работает.
                                                                                              • +1
                                                                                                логин в него отключён
                                                                                                • –1
                                                                                                  Что значит?
                                                                                                  логин в него отключён


                                                                                                  Из под рута можно войти всегда, может имелось виду авторизация при входе в систему
                                                                                                  • 0
                                                                                                    Что значит?
                                                                                                    логин в него отключён

                                                                                                    Команда su root не работает, авторизация при входе в систему тоже.
                                                                                                    В убунту также.
                                                                                                    • 0

                                                                                                      Ох уж эти линуксоиды. Это не "линукс-подобная" ОС. Это Unix-подобная ОС. Это разные вещи. Торвальдс еще только изучал программирование, а Nextstep — предок macOS — уже существовал и далеко не в первом релизе.


                                                                                                      Из под рута можно войти всегда

                                                                                                      Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.

                                                                                                      • 0
                                                                                                        По поводу «линукс-подобная» неправильно выразился, вы правы Unix подобная, но это не меняет в данном контексте разговора(линух так же unix подобная система).

                                                                                                        Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.

                                                                                                        тут можно поспорить но, каждый останется при своем…

                                                                                                        Зы: Ох уж эти маководы, блин я один из вас, вот блин))
                                                                                                        • 0
                                                                                                          тут можно поспорить но, каждый останется при своем…

                                                                                                          Я сейчас написал абзац про то, что я вот сдавал экзамен Support Essentials, а вы вряд ли и все такое, но потом подумал, что это все не нужно и пустое.


                                                                                                          Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.

                                                                                                          • 0
                                                                                                            Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?
                                                                                                            ЗЫ: и не нужно загибать пальцы, это не имеет смысла
                                                                                                            • 0

                                                                                                              — Нет. Если суперпользователь отключен, то войти под ним не получится ни через su, ни через Login Window, ни как бы то ни было еще.
                                                                                                              — тут можно поспорить но, каждый останется при своем…
                                                                                                              — Отключите, блин, через Directory Utility суперпользователя и попробуйте залогиниться.
                                                                                                              — Отключил, и ничего, не дает войти. Что вы пытаетесь доказать?


                                                                                                              Действительно, что?

                                                                                                  • –1
                                                                                                    Отключение root user

                                                                                                  • 0
                                                                                                    Нет, нет, не надо таких сравнений Линус Торвальдс тут не причём. Некоторые за такие сравнения и обидеться могут.
                                                                                                    Darwin а позднее OS/X а ещё позднее снова macOS построен на ядре FreeBSD, настоящем Unix-е )
                                                                                                    Хотя надо признать выбрали его как основу OS скорее из за лицензии, так как BSD лицензия позволяет не раскрывать код производных продуктов.
                                                                                                    • 0
                                                                                                      Ядро у мака свое, окружение от FreeBSD, не путайте
                                                                                              • +1
                                                                                                image
                                                                                                • 0
                                                                                                  Осталось массово скирпичить айфоны и можно расходиться…
                                                                                                  • 0

                                                                                                    У меня эта уязвимость не воспроизводится. Возможно из-за того что обновлялся до High Sierra с предыдущей версии.

                                                                                                    • 0
                                                                                                      Вот тут
                                                                                                      написано, что форма ввода пароля не просто вводит, а сбрасывает пароль рута, если пользователь не активен.
                                                                                                      Кстати, можно также сбросить пароль без sudo. Так что все юзеры маков — потенциально админы)
                                                                                                      • 0
                                                                                                        У меня изначально установлен root пароль, и все попытки повторить описанные не увенчались успехом. Форма не сбрасывает у пароль
                                                                                                      • –1
                                                                                                        Remote версия через File Sharing по SMB demo
                                                                                                        • 0
                                                                                                          Я правильно понимаю, что если File Sharing включен, но никаких папок не расшарено и никаких пользователей не добавлено, то File Sharing вообще не должен предоставлять никакого доступа?
                                                                                                          • 0
                                                                                                            Думаю да. Или хотя бы показывать пустой список того, что можно монтировать, но никак не весь диск.
                                                                                                            • 0
                                                                                                              Все оказалось чуть сложнее. Чуть позже опишу.
                                                                                                          • 0
                                                                                                            С какой macOS подключались в целевую?
                                                                                                            Я проверил с macOS High Sierra в High Sierra (свежеустановленную) SMB запрашивает логин и пароль, где пустой пароль не срабатывает.

                                                                                                            PS: проверил на других macOS, тоже не подключаются, на видео включен гостевой доступ без пароля. Так что тут все верно.
                                                                                                            • +1
                                                                                                              На обоих маках 10.13.1 Гостевой доступ точно выключен, однако у меня закралось подозрение, что Mac как-то знает что с обоих сторон одинаковый appleid, возможно меня пускает именно поэтому. Сейчас не возможности проверить для разных appleid.
                                                                                                          • –2
                                                                                                            При Джобсе такой хфигни не было…
                                                                                                            • 0

                                                                                                              Наверно, он сам тестировал этот случай руками

                                                                                                            • +1
                                                                                                              Подтверждаю, баг есть только на High Sierra.
                                                                                                              В UI macOS срабатывает только если фокус/курсор в поле ввода пароля.
                                                                                                              Если включен общий доступ к файлам то в шару, SMB/AFP/FTP/SFTP из-под root, не пускает.
                                                                                                              И если включен удаленный вход, то по SSH из-под root тоже не подключиться.
                                                                                                              Так что, все не так печально, для эксплуатации уязвимости нужен физический доступ.
                                                                                                              • 0
                                                                                                                А вот здесь показано обратное…
                                                                                                                • 0
                                                                                                                  Я там уже ответил. Если пароль не спрашивает значит гостевой доступ включен.
                                                                                                                  У меня есть все версии macOS установленные и не тронутые.
                                                                                                                  Часто такие видео делают для накрутки просмотров, или может владелец просто не знал что у него включен гостевой доступ без пароля.
                                                                                                                • 0
                                                                                                                  Еще просто на лок скрине если нажать «другая учетная запись», вбить root и без пароля залогинится в root аккаунт.
                                                                                                                  Есть доступ к чтению и записи в всех папок.
                                                                                                                • 0
                                                                                                                  Залатали уже
                                                                                                                  Расходимся.
                                                                                                                  • –1
                                                                                                                    Эпол, хватит, пожалей!..
                                                                                                                    • 0
                                                                                                                      А вот и официальное обновление подоспело:
                                                                                                                      image
                                                                                                                      • +1
                                                                                                                        «Обновлен. безопасности» — при Джобсе такого не было! :-) Еще и с хинтингом какие-то проблемы.
                                                                                                                        • 0
                                                                                                                          Да уж. Как будто для двух букв места не хватит…
                                                                                                                      • 0
                                                                                                                        блин, да что-ж такое?..
                                                                                                                        проверил у себя, так же со второго клика — ключ с настроек снимается.
                                                                                                                        через sudo passwd -u root — проблема решилась.
                                                                                                                        но как же так?..
                                                                                                                        версия: Бета 10.13.2 (17C79a)