Kæmpe sikkerhedsbrøler i MacOS: Alle kan få admin-rettigheder uden kodeord

Ved at skrive 'root' som brugernavn og efterlade kodeordsfeltet tomt kan enhver opnå admin-rettigheder i den seneste udgave af MacOS.

En sårbarhed i den seneste udgave af MacOS gør det muligt for uvedkommende at opnå admin-rettigheder på styresystemet. Og sårbarheden er virkelig nem at udnytte.

Det kan flere medier fortælle, blandt andet The Register.

Sårbarheden findes på MacOS 10.13, også kaldet High Sierra. Sårbarheden kan udnyttes i de autentifikationsbokse, der dukker op i systemet, når en bruger eksempelvis ønsker at konfigurere netværksindstillinger. Her er det meningen, brugeren skal autentificere sig med eget brugernavn og kodeord.

Men hvis en bruger i stedet bare skriver 'root' som brugernavn og efterlader kodeordsfeltet tomt for så at trykke et par gange på enter, ja, så kan der opnås admin-rettigheder på systemet.

The Register bemærker, at sårbarheden gør en person med fysisk adgang til maskinen i stand til at logge på og forårsage alskens ulykker. Det vil sige malware-installation etc.

Altså en træls situation i eksempelvis et åbent kontorlandskab, hvor mange kan have fysisk adgang til mange maskiner. Men måske ikke verdens undergang, som The Register skriver.

Mediet bemærker dog i forlængelse af dette, at »it's just really, really sad to see megabucks Apple drop the ball like this«.

Læs også: MacOS-fejl afslører kodeord i stedet for at vise hintet til kodeordet

Det er udvikler Lemi Orhan Ergan, der på Twitter har gjort den bredere offentlighed bekendt med sikkerhedshullet.

Samme sikkerhedshul blev dog ifølge The Register diskuteret i al ubemærkethed på Apples udviklerforum for to uger siden.

Apple har udgivet en beskrivelse til en work-around, mens selskabet arbejder på en opdatering, der lukker sårbarheden. Version2 har fået tilsendt følgende udtalelse via Apples danske pr-firma:

»Vi arbejder på en softwareopdatering, som løser dette problem. I mellemtiden vil det forhindre uautoriseret adgang til din Mac, hvis man indstiller et root-password. Man finder instruktioner til at aktivere root-brugeren og og indstille et password her: https://support.apple.com/en-us/HT204012. Hvis en root-bruger allerede er aktiveret, skal man følge instruktionerne i afsnittet 'Change the root password' for at sikre, at den ikke er indstillet med et blankt password,« står der i meddelelsen, der har en unavngiven talsperson for Apple som afsender.

Version2 har bekræftet sårbarheden via en Mac i Mediehuset Ingeniørens digitale udviklingsafdeling. Udviklingsafdelingen har desuden testet sig frem til, at sårbarheden kun påvirker High Sierra.

Udviklingsafdelingen har leveret følgende gif, der demonstrerer problemet.

Gif placeholder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (32)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Christiansen

Som mac "hader", synes jeg ikke det er noget stort problem, det er meget standard selv at ændre root kodeordet når man installere eller bruger eens o/s for første gang.

Men det er sikkert en fadæse uden lige for folk der ikke ved noget om bruger konti på unix lignende operativsystemer.

  • 0
  • 6
Ole ørsted

Som bruger af begge platforme i mere end 25 år, ser jeg fejl og mangler hos begge, og til PC-fanatikerne vil jeg da blot errindre om Winows Me, Windows 2000, Vista m.v. så kom ikke her.
Specielt efter internettets fremkomst, er det jo værktøjer vi skal tilgå med omtanke, og så er den vist ikke længere:-)

  • 2
  • 2
Kjeld Flarup Christensen

Som mac "hader", synes jeg ikke det er noget stort problem, det er meget standard selv at ændre root kodeordet når man installere eller bruger eens o/s for første gang.


Det er efterhånden standard på Linux ikke at ændre root password, fordi root IKKE SKAL kunne logge ind. I stedet skal man bruge sudo, og det følger Apple nu også.

At det så er en slem fejl de har lavet er noget helt andet.

  • 10
  • 0
Jan Friberg
  • 1
  • 0
Tobias Tobiasen

Så vidt jeg kan gennemskue er dette kun et problem hvis man er logget ind som en almindelig bruger og har forladt sin computer ulåst.
Er det virkeligt et kæmpe problem? Bevarares det er ikke smart, men er local privilege escalation er set før.

På min computer er den skade man kan lave væsentlig større når man er almindelig bruger end når man er root. Min bruger har jo ret til at slette alle mine filer, billeder, mails. Brugeren kan også poste på facebook, sende mails etc. Alt dette uden root login.
Derfor låser jeg naturligvis min skærm når jeg efterlader min computer på sted hvor andre kan få fat i den.

At en ond hacker så også kan logge ind som root og installere ting og sager er et mindre problem.
Det er naturligvis et problem hvis man deler computeren mellem mange brugere som man ikke kan stole på. Men hvor mange gør det med deres Mac?

  • 4
  • 3
Jan Nielsen

Men det kræver at gæste-login er "enablet". Min Mac på arbejde har kun mig som bruger, - og her kunne jeg ikke fremkalde problemet.
På min hjemmecomputer med 4 brugere og ingen gæste-login kunne jeg gøre det på min egen konto (som er admin) - men ikke på de andre brugeres konti.

Bortset fra det så har Apple lige udgivet en patch, der skulle lukke hullet

  • 1
  • 0
Mads Thomsen

To store ulykker på én dag. Nordkorea har udviklet en nytårs-raket som de sandsynligvis rammer iDanmark med i et forsøg på at udslette USA. Og nu dette. Dommedags uret er et pænt stykke tættere på midnat.

  • 2
  • 2
Tobias Tobiasen

Nej, men du kan logge ind som guest, bruge denne fejl til at "unlocke" admin-tingene, og enable "other" logins - og så logge ind som root uden password fra login-skærmen.


Ja. Så er det næste spørgsmål om guest er enabled pr. default.
Jeg har to Macs og ingen af dem har guest accounts enabled. Men de er begge blevet opdateret et antal gange og jeg kan ærligt talt ikke huske om jeg rodet med den indstilling.
Mine forsøg på at finde svaret på google har ikke båret frugt. Det eneste jeg har fundet er instruktioner til at enable guest mode - det kunne jo tyde på det er disabled pr. default.

  • 0
  • 0
Dennis Krøger

Du... Ehhh... Enabler en konto der som udgangpunkt er disabled for at sætte et password på den? Og det mener du bør man altid bør gøre?

Den er disabled som standard fordi det er mere sikkert. Eller retterem burde være det, hvis ikke nogen havde gjort i nællerne.

  • 3
  • 0
Per Jeppesen

Jeg tror vi alle er enig om at det er en alvorlig fejl som aldrig skulle være sendt ud... Beklager hvis jeg stødte nogen ved at prøve at rose Apple for trods alt at få fixet det hurtigt..

Du har selvfølgelig ret - i kontekst af it-sikkerhed: Fejlen er identificeret, kommunikeret, rettet. Geden er barberet.
De negative reaktioner er vel blot fra folk der ikke rigtig ved noget om it-sikkerhed, eller tror it-sikkerhed er synonym for opensource væg-til-væg, gulv-til-loft?

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize