Pocket-lint wordt ondersteund door zijn lezers. Wanneer u via links op onze site koopt, kunnen we een aangesloten commissie verdienen. Kom meer te weten

Deze pagina is vertaald met behulp van AI en machine learning.

(Pocket-lint) - Er is een enorm beveiligingslek ontdekt bij Mac-computers met de nieuwste versie van MacOS High Sierra.

Dit is een kritieke bug die iedereen op een Mac in staat stelt om in te loggen en de admin-instellingen te wijzigen - met alleen de gebruikersnaam "root" zonder wachtwoord, aldus ontwikkelaar Lemi Ergin , die de bug op 28 november ontdekte. Om het te testen, probeert u toegang te krijgen tot een beheerdersaccount op een ontgrendelde Mac en vervolgens het vergrendelde inlogscherm van die Mac na opnieuw opstarten.

Hier is alles wat u moet weten over de bug, inclusief wie erdoor wordt getroffen en of er al een oplossing is.

Hoe te testen op root-bug in High Sierra

Deze exploit vereist geen grote hackervaardigheden. En eenmaal binnen kunt u alle beheerfuncties beheren en uw eigen machtigingen bewerken. U kunt uzelf bijvoorbeeld beheerdersrechten geven of nieuwe accounts op administratieniveau opzetten of wat u maar wilt.

Als u probeert toegang te krijgen tot een beheerdersaccount:

  1. Open Systeemvoorkeuren.
  2. Selecteer Gebruikers en groepen.
  3. Klik op het slot in de hoek.
  4. Typ "root" als gebruikersnaam in het inlogveld.
  5. Ga naar het veld Wachtwoord, maar laat het leeg.
  6. Klik op ontgrendelen.
  7. Op dit punt zou u volledige toegang moeten hebben.

Het staat iedereen ook toe om in te loggen op een machine onmiddellijk na het opnieuw opstarten:

  1. Klik in het inlogscherm op "Overig".
  2. Voer "root" opnieuw in zonder wachtwoord.
  3. Op dit punt zou u volledige admin-toegang moeten hebben vanaf het vergrendelde inlogscherm.
  4. Vanuit het account kun je alles op de Mac zien.

Wie wordt getroffen door de root-bug van High Sierra?

Degenen onder ons bij Pocket-lint die oudere versies van het MacOS-besturingssysteem gebruiken, konden de bug niet repliceren. We zijn onze machines aan het updaten en zullen hierover rapporteren. Verschillende gebruikers op Twitter , die de huidige versie, MacOS High Sierra 10.13.1 en de MacOS 10.13.2 beta, hebben echter gezegd dat ze het konden repliceren.

Het probleem lijkt dus te bestaan in de volgende versies van MacOS:

  • MacOS High Sierra 10.13.0
  • MacOS High Sierra 10.13.1
  • MacOS High Sierra 10.13.2 bèta

Hoe de root-bug van High Sierra te repareren

Permanente oplossing

Apple heeft een beveiligingsupdate uitgebracht, genaamd Security Update 2017-001 , voor Mac-computers met MacOS High Sierra 10.13.1 en hoger. Dit is een oplossing voor de kritieke bug die volledige admin-toegang mogelijk maakt - met alleen root als gebruikersnaam en een leeg wachtwoord - op elke Mac met MacOS High Sierra. De update wordt nu uitgerold in de Mac App Store voor MacOS High Sierra-gebruikers. We raden aan om het onmiddellijk te installeren.

Tijdelijke oplossing

Voordat de beveiligingsupdate op 29 november werd uitgebracht, vertelde Apple aan Pocket-lint dat het instellen van een root-wachtwoord onbevoegde toegang tot je Mac voorkomt. Volg de stappen op deze ondersteuningspagina om de rootgebruiker in te schakelen en een wachtwoord in te stellen. Als er al een root-gebruiker is ingeschakeld, zei Apple dat je er nog steeds voor moet zorgen dat er geen leeg wachtwoord is ingesteld door de stappen te volgen in het gedeelte Het root-wachtwoord wijzigen van de ondersteuningspagina.

Hoe kon dit gebeuren?

Dat is een goede vraag, aangezien beveiliging voor elk bedrijf een topprioriteit moet zijn. Apple heeft echter toegegeven dat het struikelde met deze release van MacOS High Sierra. De beveiligingsingenieurs werden zich op 28 november bewust van het probleem en begonnen onmiddellijk te werken aan de update die het beveiligingslek dichtdeed, vertelde Apple ons. Het beloofde ook zijn ontwikkelingsproces te controleren om te voorkomen dat dit opnieuw gebeurt.

"We bieden onze excuses aan aan alle Mac-gebruikers, zowel voor het vrijgeven van deze kwetsbaarheid als voor de bezorgdheid die het heeft veroorzaakt", zei Apple in een verklaring.

Geschreven door Elyse Betters. Oorspronkelijk gepubliceerd op 28 November 2017.