最新版MacOS有bug 反复按 "解锁”就可创建一个根账户

翻译：360代码卫士团队

最新版 macOS High Sierra 中出现一个 bug，导致用户无需密码，而仅需反复按 “偏好”面板中的一个按钮就可创建一个根账户。

攻击者能利用这个 bug 的唯一途径是：macOS所有人没有锁定Mac并离开座位。攻击者只需点击几下就能创建一个根账户，随后访问易受攻击的设备。这个根账户也可被用于远程登录易受攻击的设备。

1.  打开 macOS 系统的“偏好”窗口。

2. 进入“用户和群组”。

3. 点击窗口左下角的锁图标。

4.  在“用户名”字段输入 “root”。

5. 将光标放在“密码”字段。

6.  反复按“解锁”按钮直至用户创建成功。

无需密码，只需通过以上几个步骤就能创建一个根账户。攻击者可随后利用这个账户合法登录受害者的Mac设备。

该 bug 影响 macOS High Sierra 10.13.1 和 10.13.2 Beta 版本。用户可自己创建一个根账户并为其设置自定义密码，这样攻击者就无法创建另外一个根账户了。

土耳其软件开发员Lemi Orhan Ergin 发现了这个 bug，并刚刚发布在推特上。很多其他 macOS 用户也独立确认了该问题的存在。苹果公司已意识到问题的存在，目前正在着手推出补丁。

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接：

https://www.bleepingcomputer.com/news/apple/macos-bug-lets-you-create-a-root-account-by-repeatedly-pressing-a-button/