En sårbarhed i den seneste udgave af MacOS gør det muligt for uvedkommende at opnå admin-rettigheder på styresystemet. Og sårbarheden er virkelig nem at udnytte.
Det kan flere medier fortælle, blandt andet The Register.
Sårbarheden findes på MacOS 10.13, også kaldet High Sierra. Sårbarheden kan udnyttes i de autentifikationsbokse, der dukker op i systemet, når en bruger eksempelvis ønsker at konfigurere netværksindstillinger. Her er det meningen, brugeren skal autentificere sig med eget brugernavn og kodeord.
Men hvis en bruger i stedet bare skriver 'root' som brugernavn og efterlader kodeordsfeltet tomt for så at trykke et par gange på enter, ja, så kan der opnås admin-rettigheder på systemet.
The Register bemærker, at sårbarheden gør en person med fysisk adgang til maskinen i stand til at logge på og forårsage alskens ulykker. Det vil sige malware-installation etc.
Altså en træls situation i eksempelvis et åbent kontorlandskab, hvor mange kan have fysisk adgang til mange maskiner. Men måske ikke verdens undergang, som The Register skriver.
Mediet bemærker dog i forlængelse af dette, at »it's just really, really sad to see megabucks Apple drop the ball like this«.
Det er udvikler Lemi Orhan Ergan, der på Twitter har gjort den bredere offentlighed bekendt med sikkerhedshullet.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017
Samme sikkerhedshul blev dog ifølge The Register diskuteret i al ubemærkethed på Apples udviklerforum for to uger siden.
Apple har udgivet en beskrivelse til en work-around, mens selskabet arbejder på en opdatering, der lukker sårbarheden. Version2 har fået tilsendt følgende udtalelse via Apples danske pr-firma:
»Vi arbejder på en softwareopdatering, som løser dette problem. I mellemtiden vil det forhindre uautoriseret adgang til din Mac, hvis man indstiller et root-password. Man finder instruktioner til at aktivere root-brugeren og og indstille et password her: https://support.apple.com/en-us/HT204012. Hvis en root-bruger allerede er aktiveret, skal man følge instruktionerne i afsnittet 'Change the root password' for at sikre, at den ikke er indstillet med et blankt password,« står der i meddelelsen, der har en unavngiven talsperson for Apple som afsender.
Version2 har bekræftet sårbarheden via en Mac i Mediehuset Ingeniørens digitale udviklingsafdeling. Udviklingsafdelingen har desuden testet sig frem til, at sårbarheden kun påvirker High Sierra.
Udviklingsafdelingen har leveret følgende gif, der demonstrerer problemet.