Apple tung bản vá lỗi bảo mật “root” trên macOS High Sierra

Một lỗ hổng bảo mật khá "dị" trên phiên bản macOS High Sierra cho phép người dùng có thể đăng nhập vào hệ điều hành chỉ bằng tài khoản "root" và không cần phải nhập mật khẩu.

Cụ thể, người ta có thể qua mặt mật khẩu macOS bằng cách nhập username là "root" và bỏ trống phần mật khẩu, sau đó bấm đăng nhập hai lần liên tiếp.

Lỗi tài khoản "root" có thể hoạt động trên cả máy tính Mac đang khóa hoặc mở khóa, thậm chí nhiều người có thể mở khóa máy Mac từ xa thông qua Remote Desktop và VNC.

Việc có thể đăng nhập dễ dàng bằng tài khoản root, không cần tới mật khẩu khiến máy tính của người dùng dễ bị truy cập trái phép hoặc lây nhiễm mã độc.

Trước đó, Apple đã lên tiếng xác nhận lỗ hổng và hứa hẹn sẽ có bản cập nhật vá lỗi sớm nhất. Tạm thời người dùng có thể thiết lập tài khoản root và cài đặt mật khẩu để bảo vệ máy tính.

Ngày 30/11, Apple đã chính thức tung bản cập nhật sửa lỗi tới người dùng và khuyên mọi người nên cập nhật càng sớm càng tốt. Security Update 2017-001 là bản vá lỗi bảo mật lớn đầu tiên trong năm nay của Apple.

Người dùng đã có thể tải về bản cập nhật ngay từ lúc này, trong khi người dùng macOS High Sierra 10.13.1 sẽ được tự động cài đặt bản vá mới nhất.

Cùng thời điểm tung bản cập nhật, Apple cũng gửi lời xin lỗi chính thức tới tất cả người dùng Mac: "Bảo mật là ưu tiên hàng đầu đối với mọi sản phẩm của Apple nhưng đáng tiếc thay, chúng tôi đã gặp phải sự cố với bản macOS này. Khi các kỹ sư bảo mật biết tới vấn đề vào chiều hôm thứ Ba (28/11), chúng tôi đã ngay lập tức nghiên cứu bản cập nhật để vá lỗ hổng bảo mật. Tính tới 8 giờ sáng nay, bản cập nhật đã có để tải về và từ ngày hôm nay sẽ được tự động cài đặt trên tất cả hệ thống chạy macOS High Sierra 10.13.1. Chúng tôi rất tiếc về lỗi phát sinh này và xin lỗi tất cả người dùng Mac.... Khách hàng của chúng tôi xứng đáng được hưởng những điều tốt đẹp hơn. Apple đang kiểm tra quá trình phát triển để ngăn điều này tái diễn"