Apple macOS 中存在一个严重错误，任何能够接触到计算机的人只需简单在登录框中输入 “root”，即可获得 High Sierra 系统的管理员访问权限。

此 bug 是周二由 Software Craftsmanship Turkey 创始人 Lemi Orhan Ergin 在 Twitter 上公布的。

研究人员表示最新版 macOS 10.13 系统中存在此 bug，此外，研究人员还发现，该错误在锁屏登录和系统偏好设置中进行解锁时都能适用。

借助该 bug 恶意者就能够成为系统管理员，这使得他们有权限查看系统上的任何文件，同时还允许他们更改或重置其他账户的密码。

Apple 在声明中表示：“我们正在为此开发补丁，在这之前，你可以通过设置 root 密码来防止未授权的登录。要启用 root 账户并设置密码，请按照此说明进行操作。如果你已经启用了 root 账户，为确保没有设置空密码，请按照 “更改 root 密码” 一节中的说明进行操作。”

“在 High Sierra 中，这个 bug 允许任何人成为系统管理员，你要做的仅仅是在认证提示中键入 “root”，待正确验证后，你就拥有了 root 权限。” Synack 研究总监 Patrick Wardle 说道。“这个 bug 比较严重，攻击者可以利用这个漏洞实现本地权限提升，再配合其它恶意程序，如键盘记录器等，就可造成更大的危害。”

Wardle 指出，这不是 High Sierra 系统出现的第一个严重问题。10 月份的时候，Apple 也发布了一个紧急补丁用于修复另一个重大漏洞（CVE-2017-7149），即通过密码提示来泄露加密 APFS 卷的密码。

“我们看到 Apple 在这里犯了非常严重的失误，虽然任何操作系统不可避免都会存在缺陷，但这类漏洞看起来像他们根本就没测试过系统，该错误并非很难触发。” Wardle 补充道，“当然，换个角度，Apple 同其它公司一样也不可能测试所有的情况，这就是为什么 bug 奖励计划是改善系统安全的一个策略。”