本周二安全專家曝出了macOS High Sierra 10.13存在嚴(yán)重安全威脅，即root賬號(hào)密碼為空的登陸漏洞，幸虧蘋果第一時(shí)間就推送 macOS 安全更新，修復(fù)了root賬號(hào)登陸漏洞。人們不用太過驚訝蘋果的反應(yīng)速度，其實(shí)在本月中旬有人就在蘋果開發(fā)者論壇提到過相關(guān)問題，當(dāng)時(shí)蘋果可能并未引起重視。

一位網(wǎng)友Ergin發(fā)布Medium讀推分享了一則故事：“一周前我工作公司的IT員工在幫助我同事恢復(fù)本地管理員賬號(hào)的時(shí)候，就發(fā)現(xiàn)了這一故障，他利用這一漏洞迅速恢復(fù)了賬號(hào)權(quán)限。到了11月23日，公司的IT部門通知了蘋果這一問題。他們還在蘋果開發(fā)論壇上搜索了相關(guān)故障，發(fā)現(xiàn)在11月13日時(shí)就有人提到類似漏洞。但蘋果并沒有注意到。”

Ergin提到的蘋果開發(fā)論壇相關(guān)故障報(bào)告帖實(shí)際上在6月8日就被發(fā)起了，一名用戶在WWDC后更新至macOS High Sierra beta測(cè)試版本，他不明白為什么自己的管理員賬號(hào)會(huì)變成標(biāo)準(zhǔn)賬號(hào)。許多用戶也反映遇到了相同的問題。而在11月13日，chethan177網(wǎng)友回復(fù)了這個(gè)帖子，提供了一個(gè)解決方案，并利用了root登陸賬戶密碼空白的漏洞。這意味著這一漏洞被人發(fā)現(xiàn)已經(jīng)至少有兩周了，但并沒有引起蘋果和公眾的注意。

隨后，chethan177網(wǎng)友再次回復(fù)了這一帖子，稱他當(dāng)時(shí)并不知道這其實(shí)是一個(gè)安全漏洞，一切似乎只是巧合。他此前遭遇了更改Apple ID后，管理員賬戶莫名其妙變成普通賬戶的問題。他在蘋果論壇上搜索了好久，嘗試了所有方法都沒奏效。在極度的失望下，自己居然發(fā)現(xiàn)只要把賬號(hào)名變成ROOT，并且把密碼留空就能得到最高權(quán)限。然后他恢復(fù)了自己賬號(hào)的管理員權(quán)限，并且沒有意識(shí)到這是一個(gè)安全漏洞。所以也沒有向蘋果報(bào)告。