macOS 发现惊人漏洞　root 账号冇密码冇王管

root 账号是 UNIX 型系统的最高权限账户，可以控制整个系统，所以一般很少会直接使用这个账户来工作。本来在 macOS 里，大家是很少机会碰到这个账户，不过最近就有人发现 macOS 的最新版本 High Sierra 里，竟然可以让人在不用输入密码的情况下，以 root 账户登入！这真是天大的漏洞！

土耳其的软件开发人 Lemi Orhan Ergin 在 Twitter 公布他这个惊人发现。他指出 Mac 机用户的电脑如果已升级到 High Sierra 的话，只要开启"系统偏好设定＞用户与群组"然后按一下视窗左下角用来解锁高级设定的小锁头，在弹出来的密码视窗的 User name 输入" root " ，移至 Password 栏后按" Unlock "键，就会发现竟然可以在没有输入密码的情况下，以 root 账户解锁！

我们都测试过有关的方法，证实是可行的。而美国保安机构 SANS Internet Storm Center 的研究人员就估计， Apple 在 High Sierra 里提供的 root 账户，可能是没有设定任何密码的！这会对所有使用 High Sierra 的用户构成重大风险，实在想不到 Apple 会犯上这种低级错误。

设定 root 密码保平安

现时未知有关漏洞是否仅在 High Sierra 上发生，还是其他版本的 macOS 也受影响，虽然官方未公布任何修补方案，但为保障自己，大家还是尽快按照以下步骤来设定 root 账号的密码吧。

1. 开启"终端机"
2. 在终端机视窗输入指令"sudo passwd root"
3. 输入自己的登入密码
4. 设定 root 的密码，并将该密码记下来以备将来需要