MacOS High Sierra e il bug che ha sorpreso tutti

Preferito da tanti, ma anche odiato da molti, i sistemi operativi di Apple sono stati creati per lavorare dinamicamente con l’hardware, che a differenza dei PC Windows, vengono sviluppati dalla stessa azienda, in modo da essere molto veloci ed efficienti. Ma nemmeno l’azienda di Cupertino è immune alle falle, e un bug nel nuovissimo macOS High Sierra, l’ultima versione del sistema operativo Mac, l’ha dimostrato.

Lemi Orhan Ergin, fondatore di Software Craftsmanship Turkey l’ha annunciato nei giorni scorsi in un tweet nel quale si rivolgeva direttamente ad Apple: “Ci siamo accorti di un ENORME bug in macOS High Sierra. Chiunque può fare il login come “root” senza password semplicemente facendo più volte clic sul pulsante.”

In cosa consiste il bug?

La vulnerabilità, trovata in macOS High Sierra, avrebbe potuto permettere a chiunque di accedere come root. Nelle ultime ore è già stato rilasciato da Apple l'aggiornamento di sicurezza.
Tweet di Lemi Orhan Ergin diretto ad Apple. Credits: Twitter

La falla trovata avrebbe potuto permettere a chiunque avesse accesso fisico (ma anche remoto) su un computer aggiornato all’ultima versione del sistema macOS, di accedere con l’account root in pochi secondi. Infatti, sarebbe bastato lasciare in bianco il campo “password” e premere ripetute volte sul pulsante “sblocca” per appropriarsi di tutti i privilegi di lettura e scrittura in più aree del sistema, compresi file situati in altri account utenti macOS; il tutto senza possedere un account con privilegi di amministratore.

In attesa del rilascio di una patch da parte di Apple, la falla si poteva aggirare cambiando la password dell’account root. Quello che ha sorpreso di più, è stato l’assurdità del bug, che sembra uscito dagli anni ’80

La reazione di Apple

La vulnerabilità, trovata in macOS High Sierra, avrebbe potuto permettere a chiunque di accedere come root. Nelle ultime ore è già stato rilasciato da Apple l'aggiornamento di sicurezza.
Tweet di Lemi Orhan Ergin in cui annuncia il rilascio dell’aggiornamento di sicurezza da parte di Apple. Credits: Twitter

Dopo l’agitazione delle ultime ore, sono arrivate le scuse ufficiali insieme all’annuncio del rilascio di una aggiornamento di sicurezza per macOS High Sierra:

“La sicurezza è una priorità assoluta per ogni prodotto Apple e purtroppo siamo inciampati in questa versione di macOS. Quando i nostri ingegneri della sicurezza sono venuti a conoscenza del problema martedì pomeriggio, abbiamo immediatamente iniziato a lavorare su un aggiornamento che chiudesse la falla di sicurezza. Questa mattina, a partire dalle 8:00, l’aggiornamento è disponibile per il download e, a partire da più tardi nel corso della giornata, verrà installato automaticamente su tutti i sistemi che eseguono l’ultima versione (10.13.1) di macOS High Sierra. Siamo molto dispiaciuti per questo errore e ci scusiamo con tutti gli utenti Mac, sia per il rilascio del sistema con questa vulnerabilità sia per la preoccupazione che ha causato. I nostri clienti meritano di meglio. Stiamo facendo una verifica dei nostri processi di sviluppo per evitare che ciò accada di nuovo.”

Per installare l’aggiornamento, basterà aprire il Mac App Store e fare clic sulla scheda “Aggiornamenti“. Apparirà subito il pulsante per scaricare insieme alla nota: “Installa questo aggiornamento il prima possibile.”