Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Ernstig beveiligingslek in macOS High Sierra

Door: Lub Snoek Lub Snoek | 29 november 2017 10:51

Mac

In macOS High Sierra (versie 10.13.1) is het mogelijk om toegang te krijgen tot het volledige systeem zonder wachtwoord in te voeren. Apple werkt op dit moment aan een update om dit beveiligingslek te dichten.

Door de fout is het mogelijk om bij een ingelogd account zonder wachtwoord als zogenoemde 'rootgebruiker' in te loggen. Dit gebruikersaccount met de naam 'root' is een supergebruiker met lees- en schrijfbevoegdheid voor een groter deel van het systeem dan een gewone gebruiker. Door in te loggen als rootgebruiker, kun je bijvoorbeeld wachtwoorden wijzigen van meerdere gebruikersaccounts.

Twitter

Het beveiligingslek werd door de gebruiker Lemi Orhan Ergin gedeeld op Twitter. Hij ontdekte dat het mogelijk was om als rootgebruiker in te loggen zonder een wachtwoord op te geven.

Wanneer je wijzigingen wil aanbrengen aan de instellingen van macOS, moet je inloggen door op het hangslot te klikken en vervolgens je wachtwoord in te voeren. Bij Instellingen - Gebruikers en groepen is het in macOS High Sierra mogelijk om als rootgebruiker in te loggen door als gebruikersnaam 'root' in te vullen en simpelweg een paar keer op Enter te drukken. Het werkt niet als je met de muis op Ontgrendel drukt.

Forum

Het beveiligingslek werd al eerder genoemd in het forum op de ontwikkelaarspagina van Apple. Daar werd het op 13 november genoemd als een eenvoudige manier om een nieuwe beheerder op macOS aan te maken.

Logischerwijs reageerden forumleden geschokt, aangezien het niet bepaald een veilige gedachte is dat iemand zonder wachtwoord als rootgebruiker kan inloggen.

Oplossing

Apple werkt momenteel aan een update om het probleem op te lossen. Tot die tijd kan de kwetsbaarheid onklaar worden gemaakt door handmatig de rootgebruiker in te schakelen in macOS. Hoe je dat doet, lees je hier. Door de rootgebruiker te voorzien van een wachtwoord, is het niet meer mogelijk om met een leeg wachtwoordveld in te loggen.

Reactie

Apple heeft inmiddels gereageerd op de berichtgeving rondom het beveiligingslek. Het advies luidt vrijwel identiek aan de oplossing die we eerder in dit artikel beschreven:

“We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.”

Er werd niet gesproken over de update die het beveiligingslek zal dichten. Het is dus nog onduidelijk wanneer we deze kunnen verwachten.

0 Reacties op: Ernstig beveiligingslek in macOS High Sierra

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • Er zijn nog geen reacties op dit artikel.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.