Mac OS High Sierra’da kritik zafiyet

Mac OS High Sierra’da kritik zafiyet
Kasım 29 02:13 2017 Yazıyı Yazdır

Türkiye’de bilinen bir geliştirici olan Lemi Orhan Ergin, Mac OS High Sierra‘da kritik bir zafiyet buldu. (Twitter)

root” kullanıcısı, tüm Mac ve Linux makinelerinde bulunur ve en üst yetkilere sahip kök kullanıcıdır. Root kullanıcısının yapamayacağı hiçbir şey yok. Yerel veya uzaktan internet aracılığıyla olsun, bir bilgisayarı hacklemek isteyen saldırganlar özellikle kök yani root kullanıcısı olmaya çalışırlar. Saldırganların hedefi her zaman root kullanıcısı olur. Kök kullanıcısına yetkisi erişim almak hayal edebileceğiniz hatta edemeyeceğiniz tüm felaket senaryolarının kapısını açar. Sonuç olarak, root kullanıcısına sahip olmak, sistem içerisine tüm her şeye sınırsız erişim sağlar.

Peki login panellerinde hiç bir parola girmeden root yetkisine sahip olabileceğinizi öğrenseniz ne düşünürsünüz? Böyle bir felaket senaryosu tüm sistemleri al aşağı edebilir değil mi? Lemi Orhan Ergin’in bulmuş olduğu zafiyet tam olarak bunu sağlıyor.

Mac OS High Sierra içerisinde varsayılan olarak root hesabının parolası boştur ve bu yüzden de devre dışı bırakılması gerekir. Bazı nedenlerden dolayı, sistem öncelikle root kullancısında (varsayılan olarak devre dışı bırakılması gerektiği) bir parola kontrolü yapıyor olmasını sağlar. Belirlenen bir parola olmadan, boş bir parola eşleşir ve sisteme girersiniz.

Çözümü ise çok kolay. Mac OS içerisinde yer alan terminalden veya terminal olarak kullandığınız uygulama üzerinden root kullanıcısı için bir parola belirlemeniz sorunu çözecektir.

Bilgisayarınızda root kullanıcısı için parola belirlerken böyle belirleyebilirsiniz:

sudo passwd -u root

Bu kodu girdiğinizde öncelikle sizden mevcut kullanıcınız için parola isteyecektir. Hemen ardından iki kez yeni bir parola girmenizi isteyecektir.

Alternatif olarak, Directory Utility üzerinden yönetici değişikliklerinin kilidini açmanız gerekir (“root” ile de yapılabilir ve burada da parola boş).

Kilit açıldığında, Edit ve Change Root Password‘e gidin. Yeni parolayı iki kez girin.

Root kullanıcısının devre dışı bırakılması bu zafiyeti gidermiyor çünkü sistem root olarak giriş yapması engellenemez. Root kullanıcısını tekrar aktif etmeleri istenir.

Belirleyeceğiniz güçlü bir parola ile bu zafiyetten kurtulabilirsiniz.

daha fazla yazı

Yazar Hakkında

Furkan Sayım
Furkan Sayım

Python Developer ve Siber Güvenlik Araştırmacısı olmaya çalışan bir Developer

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.