In de nieuwste versie van Apple-besturingssysteem macOS, High Sierra, is het mogelijk om in te loggen zonder een password in te voeren. Via deze kwetsbaarheid kunnen kwaadwillenden bij een ingelogd account de vergrendelde inlogopties in de systeeminstellingen openen als beheerdersaccount ‘root’.
Ontwikkelaar Lemi Ergin die dit lek heeft opgemerkt, heeft hier gisteren over getwitterd. Apple werkt momenteel, naar eigen zeggen, aan een patch om het probleem te verhelpen.
FileVault
Ook wanneer de machine is voorzien van schijfcodering met FileVault en de inlogoptie voor gasten is uitgeschakeld, kan gebruikgemaakt worden van het lek. Gebruikers die zich willen beschermen tegen deze kwetsbaarheid, kunnen handmatig de rootgebruiker inschakelen in macOS. Vervolgens kunnen zij hier een eigen wachtwoord invoeren, zodat er niet meer zonder wachtwoord ingelogd kan worden.
Potentieel grote gevolgen
Techjournalist Thomas Fox-Brewster omschrijft het als “mogelijk een van de meest beschamende lekken in de geschiedenis van Apple”. Beveiligingsonderzoeker Dave Maasland van ESET heeft een soortgelijke mening: “Dit is wel een van de meest makkelijk uit te voeren lekken uit mijn carrière met potentieel grote gevolgen.” Apple heeft High Sierra op 25 september op de markt gebracht. De nieuwste versie 10.13.1 die eind oktober werd uitgebracht, bevat dit lek.