Terug naar Enorm veiligheidslek in High Sierra: inloggen als root zonder wachtwoord (update)
Geen resultaten gevonden.
Toon meer resultaten
Nieuws

Enorm veiligheidslek in High Sierra: inloggen als root zonder wachtwoord (update)

Door Sven Lamers29 november 2017 18:082 min. leestijd0

Update: inmiddels is er in de Mac App Store een update van macOS High Sierra te downloaden waarmee het probleem verholpen wordt. Op deze support pagina praat Apple ons bij over Security Update 2017-001. Apple verklaarde hierbij het volgende :

“We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.”

Apple’s besturingssystemen staan normaliter bekend als erg veilig. In macOS High Sierra zijn nu echter al een paar grote veiligheidslekken naar buiten gekomen. Het nieuwste komt van de Turkse ontwikkelaar Lemi Orhan Ergin. Blijkbaar is Apple vergeten om het root-account van High Sierra goed te beveiligen, waardoor ook gewone gebruikers admin-rechten kunnen krijgen. Het enige wat ze daarvoor nodig hebben, is fysieke toegang tot de Mac en een ingelogd gebruikersaccount (bijvoorbeeld het gast-account).macOS root lek

Hoe werkt het

Het lek gebruiken is bizar eenvoudig. Je opent de Systeemvoorkeuren en klikt in een van de instellingspanelen op het hangslot. Nu moet je een wachtwoord invoeren. In plaats van het wachtwoord van een administrator te gokken, voer je als gebruikersnaam ‘root’ in en laat je het vakje wachtwoord leeg. Na een (of meerdere) klikken op ‘Ontgrendel’ zit je in het root-account met admin-rechten. Vervolgens is het een fluitje van een cent om een nieuw admin-account aan te maken.

Na het uitvoeren van deze ‘aanval’ is het ook mogelijk om direct als root-gebruiker in te loggen. Hiervoor moet echter de instelling actief zijn dat je zelf een gebruikersnaam mag invoeren op het inlogscherm. Standaard is dat niet het geval, maar was tot nu toe een veiligheidstip. Immers moet een aanvaller in dit geval accountnaam én wachtwoord achterhalen.

Zo verhelp je het probleem

Totdat Apple een update gaat uitbrengen – daar is het bedrijf al mee bezig – is er een gemakkelijke oplossing. Je activeert het root-account en geeft het een wachtwoord. Hoe dat precies werkt, is te lezen in dit support-document van Apple.

Eerder kwam er al een grote beveiligingsblunder van Apple naar buiten. Versleutelde APFS-schijven toonden het wachtwoord als hint. Ook is er nog steeds een probleem met de Sleutelhangertoegang van macOS El Capitan en Sierra. Hoe dan ook, laten we hopen dat Apple snel met een update komt om deze beveiligingsissue te verhelpen.

Wekelijks Apple nieuws in je mail
Wekelijks Apple nieuws in je mail
  • Handige Apple-tips
  • Altijd up-to-date
  • Leuke acties
Aanmelden

Praat mee!

avatar