Macs auto-installeren patch voor root-gat
“Security is een topprioriteit voor elk Apple-product, en helaas zijn we gestruikeld met deze release van macOS”, stelt Apple in een officiële verklaring aan de pers. “Toen onze security-ingenieurs bekend werden met deze zaak op dinsdagmiddag, zijn we onmiddellijk begonnen met werken aan update om dit beveiligingsgat te dichten.”
Weken onopgemerkt
Apple’s securityteam heeft dus - net als de rest van de wereld - niet de publieke forumpost van 13 november opgemerkt waarin dit root-gat al werd geopenbaard. Een behulpzame gebruiker heeft de spontane activering van een root-account met blanco wachtwoord aangedragen als oplossing voor het probleem van een Mac-gebruiker in juni. Die persoon was de admin-toegang op High Sierra kwijtgeraakt na upgraden naar die nieuwe versie.
De persverklaring van Apple vervolgt dat de fix (Security Update 2017-001) voor het root-gat nu beschikbaar is voor download, wat gebeurt via de App Store-app op Macs. “Met ingang van later vandaag zal het automatisch worden geïnstalleerd op alle systemen die de nieuwste versie (10.13.1) van macOS High Sierra draaien.”
Kritieke updates pushen
Apple acht de kwetsbaarheid dus groot genoeg om te grijpen naar het drastische middel van push. De security-update wordt daarbij niet alleen gedownload door Macs, maar daarop ook geïnstalleerd. Apple heeft deze voorziening enige tijd terug ingebouwd in de Mac App Store-app. Macs controleren dagelijks op kritieke security-updates en indien die er zijn, worden die automatisch binnengehaald en geïnstalleerd.
Daarna krijgen gebruikers een notificatie: dat er ‘een nieuwe security-update is geïnstalleerd op je Mac’. Meer informatie wordt daarbij niet gegeven; de melding heeft alleen die tekst en een Sluiten-knopje. Gebruikers kunnen de functie van automatische security-updates wel uitschakelen.
Tweede keer pas
Volgens de Amerikaanse technieuwssite Axios is dit pas de tweede keer dat Apple gebruik heeft gemaakt van deze push-mogelijkheid voor macOS. TechCrunch-hoofdredacteur Matthew Panzarino weet te melden dat Apple in 2014 een auto-update heeft uitgevoerd voor de NTP-bug die op afstand was te misbruiken.
Die kritieke kwetsbaarheid, geopenbaard net voor de kerst, maakte het mogelijk om Macs te kapen en in te zetten als zombie-computers voor DDoS-aanvallen. De fix is toen automatisch en stilletjes doorgevoerd op Macs. Net als die voorgaande auto-update vereist de nu gepushte security-fix geen herstart van het systeem.
Een bijwerking is wel dat het (kaapbare) root-account hierdoor wordt uitgeschakeld. Mac-gebruikers die deze diepgaande toegang tot hun systeem wel echt nodig hebben, moeten het dus zelf weer inschakelen en dan voorzien van een eigen wachtwoord.
Audit voor development
Apple’s persverklaring sluit af met spijtbetuiging, excuses en de belofte van preventieve maatregelen. “We betreuren deze fout en bieden alle Mac-gebruikers onze excuses aan, zowel voor het uitbrengen van deze kwetsbaarheid als ook voor de ophef die dit heeft veroorzaakt. Onze klanten verdienen beter. We voeren nu een audit uit op onze ontwikkelprocessen om te helpen voorkomen dat dit nog eens gebeurt.”
MEER AG CONNECT?
Altijd op de hoogte blijven van het laatste IT-nieuws? Volg ons op Twitter, like ons op Facebook of abonneer je op onze nieuwsbrief.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee