Apple dicht wachtwoordlek in OSX

Redactie 29-11-2017 06:41 29-11-2017 18:54

Een Turkse programmeur heeft een groot beveiligingslek ontdekt in het nieuwste besturingssysteem van Apple, High Sierra. Het Amerikaans bedrijf zegt aan een update te werken om het probleem op te lossen.

Lemi Ergin liet op Twitter weten dat het mogelijk was om in het besturingssysteem te geraken door met een zogenoemde root-account zonder wachtwoord in te loggen. Hierdoor kan een gebruiker belangrijke instellingen en wachtwoorden veranderen en de computer onbruikbaar maken door belangrijke systeembestanden te wissen.

Ergin ontdekte dat hij de gebruikersnaam root kon opgeven en vervolgens kon inloggen door een paar keer op Enter te drukken. Dat hij dit op Twitter zette zonder eerst Apple te verwittigen kwam hem vervolgens op kritiek te staan.

Het is gebruikelijk dat beveiligingsonderzoekers dit doen zodat het bedrijf in kwestie het lek kan dichten voordat kwaadwillenden er misbruik van maken.

In principe moet een aanvaller fysieke toegang hebben tot de computer, maar iemand die al op afstand toegang heeft zou de kwetsbaarheid kunnen uitbuiten. Als workaround raadt Apple gebruikers voorlopig aan om een root-wachtwoord in te stellen, tot de update er is.

Update 18.54 uur
Apple is inmiddels met een patch gekomen voor het lek. Indien deze wordt geïnstalleerd op een systeem waar al een root-account actief was, moet de account opnieuw worden geactiveerd met een nieuw wachtwoord.

Beveiligingslek in besturingssysteem Apple
Apple dicht wachtwoordlek in OSX (Foto: BuzzT)