Illustrasjonsbilde: Fra Apples introduksjon av MacOS High Sierra.
Illustrasjonsbilde: Fra Apples introduksjon av MacOS High Sierra. (Foto: AFP PHOTO / Josh Edelson)

MacOS High Sierra

Enda en passordbeskyttelse i MacOS kan omgås med ethvert passord

Ingen alvorlig sårbarhet, men den bidrar til å danne et uheldig mønster for Apple.

I november ble det kjent at det i mange tilfeller var mulig for brukere å logge inn med fulle administratorrettigheter i MacOS High Sierra, uten å måtte oppgi noe passord. Sikkerhetsanalytikeren Christoffer Vargtass Hallstensen ved NTNU karakteriserte dette som den største sårbarheten i Apples Mac-operativsystem i nyere tid. 

Et mønster

Nå har det blitt funnet en lignende sårbarhet i MacOS, som riktignok er langt mindre alvorlig enn den forrige, men som samtidig utgjør et nytt eksempel på at passordfunksjonaliteten i MacOS ikke alltid er helt til å stole på.

Dette er oppsiktsvekkende, siden Apple i forrige runde lovet å revidere utviklingsprosessen til selskapet for å unngå at slike feil oppstår igjen. 

Feilen gjør det mulig å låse opp systeminnstillingene for App Store med hvilket som helst brukernavn og passord. Forutsetningen er at brukeren allerede er innlogget som lokal administrator. Da vil man kunne endre innstillingene for blant annet oppdatering av apper. 

(Artikkelen fortsetter under)

Opplåsing av App Store-valgpanelet i MacOS High Sierra.
Opplåsing av App Store-valgpanelet i MacOS High Sierra kan i noen tilfeller gjøres med ethvert passord. Skjermbilde: digi.no

Det er temmelig begrenset hva uvedkommende kan bruke denne muligheten til. Men brukere som forlater Macen med en lokal administratorbruker innlogget, har nå enda litt større grunn til å låse datamaskinen enn de hadde fra før.

Ifølge Mac Rumors ser det ut til at sårbarheten har blitt introdusert i 10.13.2-utgaven av MacOS. Den skal være borte igjen i betautgaven av MacOS 10.13.3. 

Les også: Gapende sikkerhetshull i MacOS. Full tilgang – uten passord

Kommentarer (9)

Kommentarer (9)
Til toppen