Raymon Mens
Raymon Mens Nieuws 29 november 2017
Leestijd: 2 minuten

Update lost root-probleem macOS High Sierra op

Minder dan 24 uur na de ontdekking van een ernstig probleem met de root-gebruiker van macOS High Sierra, is een patch beschikbaar. Alle gebruikers met High Sierra 10.13.1 vinden in de Mac App Store een beveiligingsupdate genaamd 2017-001.

Installeer ‘m zo snel mogelijk. Dinsdag werd namelijk een ernstig probleem met de root-gebruiker van de nieuwste macOS-versie ontdekt. Deze gebruiker mag alles op een Mac en was niet goed beveiligd.

Alle Macs met High Sierra getroffen

Alles en iedereen (inclusief malware) kon alle instellingen van een Mac aanpassen door ‘root’ als gebruiker zonder wachtwoord op te geven. De update is nog niet beschikbaar voor gebruikers van de publieke beta van macOS High Sierra 10.3.2. Opnieuw opstarten is na installatie niet nodig en als je de tijdelijke fix die we gisteren beschreven nog niet hebt uitgevoerd, hoeft dat niet meer. De update installeren is genoeg.

Klik/tap voor groter.

Aanvankelijk was er twijfel of alle Macs met High Sierra getroffen waren. Die twijfel ontstond omdat de root-gebruiker standaard was uitgeschakeld. Het invoeren van root zonder wachtwoord bij bijvoorbeeld een instelling in de Systeemvoorkeuren, schakelde de root-gebruiker echter meteen in. Het was zelfs mogelijk om op een Mac als root in te loggen.

Mogelijke oorzaak

Apple heeft nog niet toegelicht wat dit probleem veroorzaakte, maar de Franse beveiligingsonderzoeker Yoann Gini is gaan graven. Hij denkt dat de bug veroorzaakt werd door een nieuwe standaard voor accounts die Apple sinds High Sierra gebruikt. Accounts die onder High Sierra aangemaakt worden, krijgen automatisch de nieuwe standaard die zorgt dat ze compatibel zijn met APFS (Apple File System).

Oude accounts moeten worden bijgewerkt en dat gebeurde pas bij het eerste gebruik van een account. De root-gebruiker had nog de oude standaard en moest dus worden bijgewerkt. Omdat het proces niet goed getest was, werd het root-account zonder wachtwoord geactiveerd. Dit verklaart ook waarom macOS 10.12 Sierra niet werd getroffen door de bug.

Apple biedt in een verklaring naar Amerikaanse media zijn excuses aan:

We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.

Foutje gezien? Mail ons. Wij zijn je dankbaar.

Reageer op artikel:
Update lost root-probleem macOS High Sierra op
Sluiten