Oplossing ernstige MacBook-kwetsbaarheid blijkt niet meteen te werken

Security
Oplossing ernstige MacBook-kwetsbaarheid blijkt niet meteen te werken

Eind november meldden we nog dat er een ernstige kwetsbaarheid gevonden was in macOS High Sierra. Door een foutje konden gebruikers ook zonder wachtwoord inloggen op de computer. Apple loste te bug op, maar blijkt hem per ongeluk teruggebracht te hebben met macOS 10.13.1.

Dat meldt de site Wired vandaag op basis van eigen onderzoek. Het probleem zit hem niet zozeer in de software die Apple levert, maar wel in de manier waarop de oplossing geïmplementeerd wordt. De fix blijkt namelijk pas te werken als de gebruiker zijn apparaat opnieuw opstart.

Weinig reboots

Een gemiddelde Apple-gebruiker start zijn MacBook gewoonlijk gedurende enkele dagen en soms zelfs maanden niet opnieuw op. Het is simpelweg niet nodig bij de apparaten van Apple. In de documentatie over de update heeft Apple in eerste instantie niets aangegeven over het opnieuw opstarten van het apparaat.

Dat is naar aanleiding van het bericht van Wired overigens aangepast, dus nu raadt Apple iedereen aan zijn apparaat meteen opnieuw te starten. Zodra dat wel is gedaan, is de ernstige kwetsbaarheid van High Sierra opgelost.

Toegang tot alle systemen

De kwetsbaarheid die eind november werd gevonden betreft administrator-toegang tot MacBooks waar High Sierra op geïnstalleerd staat. Het bleek mogelijk te zijn om, als er een prompt in beeld verschijnt waarbij de gebruikersnaam en het wachtwoord van een administrator ingevuld moeten worden, dat te omzeilen.

Daarvoor hoeven gebruikers enkel bij gebruikersnaam ‘root’ in te vullen en het wachtwoordveld leeg te laten. Soms moet dan meerdere keren op enter gedrukt worden, maar in de praktijk werkt het wel altijd. Zo kan dus ook vanuit een gastaccount een verandering gemaakt worden in het Mac-systeem.