애플은 휴식을 취할 수 없어 보인다. iOS에는 상당한 버그가 있었지만 macOS High Sierra의 새로운 버그가 방금 발견되었습니다. 현재 사용자 계정의 암호 없이 누구나 루트 사용자에 대한 액세스 권한을 얻을 수 있습니다. 계정이 관리자 계정인지 아닌지는 중요하지 않습니다. 이 익스플로잇은 완전한 시스템 액세스를 제공하고 잠재적인 공격자가 루트 계정을 만들고 사용할 수 있도록 합니다. 좋은 소식은 macOS High Sierra 루트 로그인 버그를 매우 쉽게 수정할 수 있다는 것입니다.
업데이트: Apple에서 패치를 출시했습니다. High Sierra 업데이트를 확인하고 바로 설치하세요.
High Sierra 루트 로그인 버그
시스템 환경설정에서 변경할 때 관리자 액세스 권한을 제공하거나 최소한 현재 사용자의 비밀번호를 입력해야 합니다. 이 버그가 하는 일은 사용자를 만들고 수정할 수 있는 사용자 및 그룹 기본 설정으로 이동하면 루트 사용자의 잠금을 해제할 수 있다는 것입니다. 변경하기 위해 비밀번호를 입력할 필요는 없습니다. 대신 사용자 이름에 ‘root’를 입력하고 비밀번호 필드를 비워두면 승인됩니다. 그러면 사용자와 시스템의 다른 모든 항목을 변경할 수 있습니다. 또한 암호 없이 다시 로그인할 수 있는 계정 화면에 ‘루트’ 사용자를 추가합니다.
수정
수정은 매우 간단합니다. 루트 사용자를 직접 활성화하고 암호를 추가하십시오. 기본적으로 다른 사람이 루트 사용자를 사용하여 시스템을 악용하기 전에 루트 사용자에게 접근하는 것입니다.
시스템 환경 설정을 열고 사용자 및 그룹으로 이동하십시오. 왼쪽 하단의 자물쇠 아이콘을 클릭하고 메시지가 표시되면 비밀번호를 입력합니다. 그런 다음 왼쪽 패널의 맨 아래에 있는 ‘로그인 옵션’을 클릭합니다. 네트워크 계정 서버 옆의 ‘가입’을 클릭합니다.
서버 주소를 묻는 새 패널이 열립니다. Open Directory 유틸리티 버튼을 클릭합니다.
다시 잠금 아이콘을 클릭하고 메시지가 표시되면 비밀번호를 입력합니다. 그런 다음 편집> 루트 사용자 활성화로 이동하십시오.
루트 사용자의 암호를 입력하면 암호를 완전히 제어할 수 있습니다.
루트 사용자를 활성화하고 암호를 설정하면 macOS High Sierra 루트 로그인 버그에 면역이 됩니다. 수정은 익스플로잇만큼 간단하지만 Apple은 이를 최대한 빨리 패치해야 합니다. 이 버그는 잠금 해제된 시스템에 대한 액세스 권한을 얻은 사람이나 원격으로 로그인한 사람이 악용할 수 있습니다.