Af Torben B. Sørensen, 29/11/17
Angribere med fysisk adgang til en Mac kan logge ind med administratorprivilegier uden at angive et password.
En fejl i macOS 10.13 High Sierra gør det muligt at logge ind som root (systemadministrator) uden password. Det kan ske fra login-skærmen.
Angriberen skal indtaste "root" som bruger, lade password-feltet være tomt, taste Enter og derefter klikke et par gange på knappen "Unlock". Derefter er man logget ind som root med fuld kontrol over maskinen.
En angriber skal have fysisk adgang eller fjernadgang til Mac'en for at kunne udnytte sårbarheden.
Apple arbejder på en softwareopdatering, der skal løse problemet.
I mellemtiden kan man beskytte sig ved at oprette et password til root-kontoen. En webside hos Apple forklarer, hvordan man gør det.
Anbefaling
Beskyt root-kontoen med et stærkt password.
Links
- How to enable the root user on your Mac or change your root password
- Pro tip: You can log into macOS High Sierra as root with no password, artikel fra The Register
- Stupid Bug Lets Anyone Change Apple macOS High Sierra Passwords -- Here's How To Fix It, artikel fra Forbes
- Stupid, stupid MacOS security flaw grants admin access to anyone, artikel fra ZDNet
- MacOS Bug Lets You Create a Root Account by Repeatedly Pressing a Button, artikel fra Bleeping Computer
- Anyone Can Hack MacOS High Sierra Just by Typing "Root", artikel fra Wired
- Critical Apple Login Bug Puts macOS High Sierra Systems at Risk, artikel fra Kaspersky Threatpost