Alweer een beveiligingsbug: instellingen Mac App Store te wijzigingen zonder wachtwoordcontrole

Een nieuw ontdekte bug maakt het mogelijk om de instellingen van de Mac App Store te wijzigen in High Sierra, zonder dat je over het wachtwoord hoeft te beschikken. Daardoor kan een kwaadwillende het installeren van beveilgingsupdates tegenhouden.

macOS High Sierra is opnieuw getroffen door een bug. Het blijkt mogelijk om de instellingen voor de Mac App Store te wijzigen, zonder dat je het wachtwoord van de (admin)gebruiker hoeft te weten. Op de iCulture-redactie hebben we de bug geverifieerd en het blijkt inderdaad mogelijk om de instellingen te wijzigen, óók als je het wachtwoord niet weet.


De bug werd deze week gepubliceerd op Apple’s rapportagesysteem Radar. Iedereen met fysieke toegang tot een computer kan het automatisch installeren van macOS-updates, beveiligingsupdates en app-updates uitschakelen. Dat geldt ook als iemand op afstand toegang heeft tot jouw computer.

Zelf checken
De bug is als volgt te controleren:

  1. Ga naar  > Systeemvoorkeuren en klik op App Store.
  2. Klik op het hangslot om te sluiten.
  3. Klik opnieuw op het hangslot om te openen.
  4. Voer je gebruikersnaam in en een willekeurig wachtwoord.
  5. Je kunt nu inloggen en de instellingen voor de Mac App Store aanpassen.

Dit werkt alleen bij accounts met admin-rechten; bij gewone gebruikersaccounts is wel het juiste wachtwoord vereist. Er is momenteel geen workaround beschikbaar om jezelf te beschermen.

Mac App Store-bug in High Sierra

Bug gefixt in nieuwste beta’s
De bug is gefixt in de nieuwste beta’s van macOS 10.13.3, wat erop wijst dat Apple op de hoogte is en achter de schermen al maatregelen heeft genomen. Ook is gebleken dat de bug pas sinds High Sierra aanwezig is en nog niet bestond in macOS Sierra (10.12.x).

Het is de tweede grote bug die in macOS High Sierra is aangetroffen. Eind 2017 werd ontdekt dat een beveiligingslek ervoor zorgde dat iedereen met een blanco wachtwoord admin-rechten kon krijgen in macOS High Sierra 10.13.1. Apple loste dit op in een extra beveiligingsupdate. Ook bij deze nieuwe bug zal waarschijnlijk al snel een oplossing volgen, wellicht in een versnelde release van 10.13.3 (waarin het probleem immers opgelost is).

Bekijk ook
Ernstige High Sierra-bug geeft iedereen admin-rechten: update nu te downloaden

Ernstige High Sierra-bug geeft iedereen admin-rechten: update nu te downloaden

Een ernstige bug zorgt ervoor dat je als admin kunt inloggen op een Mac, zonder een wachtwoord in te vullen. De update is nu te downloaden!

Dat juist macOS High Sierra is getroffen door deze ernstige wachtwoordbugs is opmerkelijk, omdat Apple bij de aankondiging juist de nadruk erop legde dat er weinig nieuwe functies in zouden zitten, maar dat er vooral was gewerkt aan het stabieler en veiliger maken ervan. Het is wel duidelijk dat de kwaliteitscontrole bij Apple heel snel verbeterd moet worden, want dit soort fouten zijn niet echt goed voor het tot nog toe solide imago van macOS en iOS.

Reacties: 12 reacties

Reacties zijn gesloten voor dit artikel.