Ernstig beveiligingslek in macOS High Sierra

In macOS High Sierra (versie 10.13.1) is het mogelijk om toegang te krijgen tot het volledige systeem zonder wachtwoord in te voeren. Apple werkt op dit moment aan een update om dit beveiligingslek te dichten.

Door de fout is het mogelijk om bij een ingelogd account zonder wachtwoord als zogenoemde 'rootgebruiker' in te loggen. Dit gebruikersaccount met de naam 'root' is een supergebruiker met lees- en schrijfbevoegdheid voor een groter deel van het systeem dan een gewone gebruiker. Door in te loggen als rootgebruiker, kun je bijvoorbeeld wachtwoorden wijzigen van meerdere gebruikersaccounts.

Twitter

Het beveiligingslek werd door de gebruiker Lemi Orhan Ergin gedeeld op Twitter. Hij ontdekte dat het mogelijk was om als rootgebruiker in te loggen zonder een wachtwoord op te geven.

Wanneer je wijzigingen wil aanbrengen aan de instellingen van macOS, moet je inloggen door op het hangslot te klikken en vervolgens je wachtwoord in te voeren. Bij Instellingen - Gebruikers en groepen is het in macOS High Sierra mogelijk om als rootgebruiker in te loggen door als gebruikersnaam 'root' in te vullen en simpelweg een paar keer op Enter te drukken. Het werkt niet als je met de muis op Ontgrendel drukt.

Forum

Het beveiligingslek werd al eerder genoemd in het forum op de ontwikkelaarspagina van Apple. Daar werd het op 13 november genoemd als een eenvoudige manier om een nieuwe beheerder op macOS aan te maken.

Media has no description

© PXimport

Logischerwijs reageerden forumleden geschokt, aangezien het niet bepaald een veilige gedachte is dat iemand zonder wachtwoord als rootgebruiker kan inloggen.

Oplossing

Apple werkt momenteel aan een update om het probleem op te lossen. Tot die tijd kan de kwetsbaarheid onklaar worden gemaakt door handmatig de rootgebruiker in te schakelen in macOS. Hoe je dat doet, lees je hier. Door de rootgebruiker te voorzien van een wachtwoord, is het niet meer mogelijk om met een leeg wachtwoordveld in te loggen.

Reactie

Apple heeft inmiddels gereageerd op de berichtgeving rondom het beveiligingslek. Het advies luidt vrijwel identiek aan de oplossing die we eerder in dit artikel beschreven:

“We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.”

Er werd niet gesproken over de update die het beveiligingslek zal dichten. Het is dus nog onduidelijk wanneer we deze kunnen verwachten.

Deel dit artikel
Voeg toe aan favorieten
ID.nl logo

ID.nl, onderdeel van Reshift BV, is in 2022 gestart en uitgegroeid tot de meest toonaangevende en complete consumentensite van Nederland. Het doel van ID.nl is om de consument te helpen met alle technologie die hoort bij het dagelijks leven: van smart-health-meters tot e-bikes, van warmtepompen tot zonnepanelen - en alles daar tussenin!

Duidelijk, betrouwbaar en onafhankelijk: ID.nl maakt moeilijke dingen makkelijk.

Contact

ID.nl

Nijverheidsweg 18

2031 CP Haarlem

info@id.nl

Telefoon: 023-5430000