Apple heeft een dag na de ontdekking van de root-bug in macOS 10.13 High Sierra een beveiligingsupdate uitgebracht om het lek te dichten. De ondersteuningspagina van de beveiligingsupdate bevestigt dat het beveiligingslek wordt verholpen dat het mogelijk maakte om root-toegang te verkrijgen tot een Mac zonder het invoeren van een wachtwoord.
macOS 10.13 High Sierra root-bug
Het bedrijf uit Cupertino zegt dat macOS-gebruikers de update zo snel mogelijk moeten installeren. Apple doet er alles aan om het verspreiden van de beveiligingsupdate te versnellen en de update zal op korte termijn automatisch worden geïnstalleerd op alle systemen met macOS High Sierra. Daarnaast biedt het bedrijf in een verklaring zijn excuses aan voor het slordige lek. Apple legt tijdens zijn presentaties vaak de nadruk op gebruikersbeveiliging en privacy, en het zal daarom ongetwijfeld als een beschamende situatie aanvoelen.
“Beveiliging is een topprioriteit voor elk Apple-product, en we zijn met deze versie van macOS duidelijk de fout in gegaan. De fout spijt ons enorm en we bieden onze excuses aan voor alle Mac-gebruikers, zowel voor het uitbrengen van de software met dit beveiligingslek en voor de bezorgdheid die het heeft veroorzaakt. Onze klanten verdienen beter. We gaan onze ontwikkelingsprocessen controleren om te voorkomen dit niet opnieuw gebeurt”, aldus Apple in zijn verklaring.
Om je Mac te beschermen open je de Mac App Store en klik je op het ‘Updates’-tabblad. Het installatieproces vereist geen herstart en is mogelijk al stilletjes op de achtergrond geïnstalleerd.
Het lek maakte het mogelijk om in te loggen op een vergrendelde computer of een administratoraccount te creëren vanuit een gastaccount. Je kon namelijk ‘Systeemvoorkeuren’ en ‘Gebruikers en groepen’ openen, waarna je toegang kon krijgen tot alle accounts door op het slotje te drukken en alleen de gebruikersnaam ‘root’ in te voeren en op ‘Ontgrendel’ te klikken (er moesten soms meerdere pogingen gedaan worden).
Just tested the apple root login bug. You can log in as root even after the machi was rebooted pic.twitter.com/fTHZ7nkcUp
— Amit Serper (@0xAmit) November 28, 2017
Door deze eenvoudige exploit kon iedereen met fysieke toegang tot jouw macOS High Sierra-apparaat inloggen, ongeacht hoe veilig het ingestelde wachtwoord is. Het lek werd door Amit Serper, een beveiligingsonderzoeker van Cybereason, ontdekt en in de video liet hij zien dat de exploit zelfs na het herstarten van de MacBook werkt.
Ikke
Momenteel loopt de update voor de zoveelste keer..
Hij blijft rond de 95% “hangen”, en doet verder niks meer, en dat na uren laten staan.
En dat voor een update bestand van 1.2mb?