Apple-patches Belangrijke macOS-beveiligingskwestie Controleer nu uw updates
Een Turkse veiligheidsonderzoeker heeft een grote bug in macOS High Sierra blootgelegd. De fout maakt het mogelijk voor een aanvaller om toegang te krijgen tot een machine zonder wachtwoord - evenals toegang tot krachtige beheerdersrechten. Apple heeft een patch uitgegeven om de kwetsbaarheid op te lossen die van invloed is op bijna alle macOS High Sierra-systemen.
Niet-gepatchte systemen blijven echter onveilig ...
Wat is de Bug?
De fout werd verbroken door de Turkse ontwikkelaar Lemi Orhan Ergan. Het stelde iedereen in staat om volledige beheerdersrechten te verkrijgen over een MacOS High Sierra-machine door simpelweg te typen “wortel” als de gebruikersnaam in het dialoogvenster voor verificatie. Vervolgens laat u het wachtwoordveld leeg en klikt u op “ontsluiten” knop tweemaal, volledige administratieve toegang wordt verleend.
U hebt toegang via Systeemvoorkeuren> Gebruikers en groepen> Klik op het slot om wijzigingen aan te brengen. Gebruik vervolgens "root" zonder wachtwoord. En probeer het meerdere keren. Resultaat is ongelooflijk! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28 november 2017
In theorie, voor de patch, als iemand je Mac onbeheerd achterlaat, kan iemand gemakkelijk toegang krijgen en je machine vernielen. Ze kunnen bijvoorbeeld malware 5 Easy Ways installeren om je Mac te infecteren met malware 5 Eenvoudige manieren om je Mac te infecteren met malware Je zou denken dat het behoorlijk moeilijk is om je Mac te infecteren met malware, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer lezen, wachtwoorden vastleggen 5 Eenvoudige manieren om uw Mac te infecteren met malware 5 Eenvoudige manieren om uw Mac te infecteren Met malware U denkt misschien dat het vrij moeilijk is om uw Mac te infecteren met malware, maar er zijn altijd uitzonderingen. Hier zijn vijf manieren om je computer vies te maken. Meer lezen met sleutelhanger Toegang Moet u iCloud-sleutelhanger gebruiken om wachtwoorden op Mac en iOS te synchroniseren? Moet je iCloud-sleutelhanger gebruiken om wachtwoorden op Mac en iOS te synchroniseren? Als u voornamelijk Apple-producten gebruikt, kunt u de eigen wachtwoordbeheerder van het bedrijf helemaal gratis gebruiken? Lees meer, verwijder of ruïneer uw Apple ID, en meer.
Maar Apple heeft het probleem opgelost, goed?
Toen ik dit artikel schreef, bracht Apple de beveiligingsupdate uit om het probleem op te lossen. In de Apple-update-instructie over de beveiligingsinhoud staat “Er was een logische fout bij de validatie van referenties. Dit werd aangepakt met een verbeterde validatie van de referenties.”
De oplossing is al beschikbaar in de Mac App Store. De update is ook vanaf woensdag 29 automatisch van toepassing op Macs met High Sierra 10.13.1th November. Apple heeft de situatie uitgebreid met de volgende verklaring:
“Beveiliging is een topprioriteit voor elk Apple-product en helaas stuitten we op deze versie van macOS.
“Toen onze beveiligingsingenieurs dinsdagmiddag op de hoogte waren van het probleem, begonnen we meteen aan een update te werken die de beveiligingslek dichtt. Vanochtend, vanaf 8 uur, is de update beschikbaar om te downloaden en vanaf vandaag wordt deze automatisch geïnstalleerd op alle systemen met de nieuwste versie (10.13.1) van macOS High Sierra.
“We hebben grote spijt van deze fout en bieden onze excuses aan voor alle Mac-gebruikers, zowel voor het vrijgeven van dit beveiligingslek als vanwege de bezorgdheid die dit heeft veroorzaakt. Onze klanten verdienen beter. We controleren onze ontwikkelingsprocessen om te voorkomen dat dit opnieuw gebeurt.”
Maar ze wisten er al over?
Helaas voor Apple was dit probleem al naar boven gekomen - maar kreeg geen actie. Een lid van het ondersteuningsforum van Apple heeft meer dan twee weken geleden exacte details van de bug gepost. De oorspronkelijke post en reacties lijken de grootste fout te zien als een potentiële probleemoplossingsfunctie, in plaats van een kritieke beveiligingsdreiging.
Wat moet ik nu doen?
Nou, het eerste wat je moet doen, is controleren of er een systeemupdate is. Apple zou de automatische update van de patch op enig moment in de afgelopen 24 uur uitrollen. Als de automatische update niet is verschenen, ga dan naar de Mac App Store en zoek daar naar de update. Of klik op deze link.
Zodra de update is gedownload, moet u deze onmiddellijk installeren.
Het werkt niet
Als de update om welke reden dan ook niet kan worden geïnstalleerd, schakelt u eerst uw systeem uit en weer in en probeert u het opnieuw. Apple heeft het proces geautomatiseerd.
Anders volgt u deze stappen om uw systeem in de tussentijd te beveiligen:
- Open Spotlight, zoek naar Directory hulpprogramma, selecteer de overeenkomstige optie
- Klik op het slot om wijzigingen aan te brengen; voer uw gebruikersnaam en wachtwoord in voor het administratieve account
- Ga naar Menu> Bewerken
- kiezen Schakel root-gebruiker in; maak een wachtwoord aan en verifieer
Dit is echter een stop-gap. Probeer de officiële update te installeren.
Ogen op de Bron
Terwijl Apple de bug oplost, kijken de ogen naar Lemi Orhan Ergan. De zelf-beschreven “software vakman” ontvangt kritiek vanwege het niet naleven van verantwoorde richtlijnen voor openbaarmaking Volledige of verantwoorde openbaarmaking: hoe beveiligingskwetsbaarheden worden onthuld Volledige of verantwoorde openbaarmaking: hoe beveiligingszwakheden worden onthuld Beveiligingslekken in populaire softwarepakketten worden voortdurend ontdekt, maar hoe worden deze gemeld aan ontwikkelaars, en hoe leren hackers over kwetsbaarheden die ze kunnen misbruiken? Lees verder . Responsible disclosure vraagt beveiligingsonderzoekers om bedrijven te informeren over beveiligingsrisico's om tijd te maken om het probleem te verhelpen. Nadat de fout is verholpen, is de onderzoeker duidelijk om zijn bevindingen aan het publiek voor te stellen.
DIT IS GEEN VERANTWOORDELIJKE OPENBAARMAKING. Dit is uiterst onverantwoordelijk, vooral voor een kwetsbaarheid van deze omvang. Apple heeft een uitstekend disclosure-systeem en hun team reageert bijzonder goed. Doe alsjeblieft geen dingen als deze. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28 november 2017
Natuurlijk werkt dit systeem niet altijd zoals bedoeld. Bedrijven reageren niet en beveiligingsonderzoekers worden ongeduldig. In die gevallen dwingt het creëren van een openbaar probleem de hand van het bedrijf, waardoor ze gedwongen worden de beveiligingsdreiging op te lossen.
Na een aanzienlijke hoeveelheid kritiek ontvangen te hebben, plaatste Ergan een riposte op Medium. Hij legt dat uit “is noch een hacker, noch een beveiligingsspecialist,” voortgezette “Ik focus me uitsluitend op beveiligde codeerpraktijken tijdens het programmeren, maar ik kan mezelf nooit een beveiligingsspecialist noemen.”
Beste @AppleSupport, we hebben een * ENORM * beveiligingsprobleem opgemerkt bij MacOS High Sierra. Iedereen kan als "root" inloggen met een leeg wachtwoord door meerdere keren op de login-knop te klikken. Kent u het @Apple?
- Lemi Orhan Ergin (@lemiorhan) 28 november 2017
In alle eerlijkheid werd de bug besproken op het ondersteuningsforum van Apple. Verder beweert Ergan dat zijn collega's van het betalingskantoor Iyzico de bedreiging aan Apple op 23 hebben bekendgemaaktrd November - maar ontving nooit een reactie.
Eyes on the Ball
Van de bron tot het bedrijf. Heeft Apple deze door het net laten glippen? In één woord, ja: vooral als ze op de hoogte waren van de bug zoals Ergan beweert. Helaas weten we de waarheid niet, dus kunnen we de situatie niet goed beoordelen.
Zelfs na een tweede gedwongen update in een jaar (nog steeds alleen hun tweede gedwongen beveiligingsupdate ooit), zou Apple zich geen zorgen moeten maken. Instanties van MacOS- en iOS-malware nemen toe Apple-gerichte malware neemt toe - Hierop moet je letten in 2016 Apple-gerichte malwareverhogingen - Hierop moet je letten in 2016 Apple-hardware is niet langer een veilige haven voor hackers, malware en ransomware en andere cyberbedreigingen. De eerste helft van 2016 bewijst dat zonder de juiste voorzorgsmaatregelen uw apparaten risico's kunnen worden ... Lees meer, maar Windows en Android blijven de belangrijkste doelen Wat is het meest veilige mobiele besturingssysteem? Wat is het meest veilige mobiele besturingssysteem? Vechtend voor de titel van het meest veilige mobiele besturingssysteem, hebben we: Android, BlackBerry, Ubuntu, Windows Phone en iOS. Welk besturingssysteem is het best in staat zich staande te houden tegen online aanvallen? Lees verder . Verder heeft Apple een geweldig beveiligingsrecord voor het grootste deel van The Ultimate Mac Security Guide: 20 manieren om uzelf te beschermen De ultieme Mac-beveiligingsgids: 20 manieren om uzelf te beschermen Wees geen slachtoffer! Beveilig uw Mac vandaag met onze uitgebreide beveiligingsgids voor High Sierra. Lees meer, zoals blijkt uit hun snelle en effectieve update-uitrol om de snelgroeiende dreiging te onderdrukken.
Ben je getroffen door het beveiligingsprobleem van Apple? Of kwam de update snel genoeg om je zorgen te maken? Laat ons hieronder uw mening weten!
Ontdek meer over: Computerbeveiliging, macOS High Sierra.