En betydelig sikkerhedssårbarhed er blevet opdaget med macOS High Sierra, hvilket potentielt gør det muligt for enhver person at logge ind på en Mac med fuld rodadministration uden en adgangskode.

Dette er et presserende sikkerhedsproblem, og selvom der snart kommer en softwareopdatering til at løse problemet, vil denne artikel detaljeret beskrive, hvordan du beskytter din Mac mod dette sikkerhedshul.

Vigtig opdatering: Apple har udgivet sikkerhedsopdatering 2017-001 til macOS High Sierra for at rette fejlen til root-login, download den nu. Hvis du kører macOS High Sierra, skal du downloade opdateringen så hurtigt som muligt til din Mac.

Hvad er root login-fejlen, og hvorfor betyder det noget?

For en hurtig baggrund giver sikkerhedshullet en person mulighed for at indtaste 'root' som et brugernavn og derefter straks logge ind som root på Mac'en uden adgangskode. Det adgangskodeløse root-login kan forekomme direkte med en fysisk maskine på den generelle brugerlogin-skærm, der ses ved opstart, fra System Preferences-panelerne, som typisk kræver godkendelse, eller endda over VNC og Remote Login, hvis de to sidstnævnte fjernadgangsfunktioner er aktiveret. Ethvert af disse scenarier giver derefter fuld adgang til MacOS High Sierra-maskinen uden nogensinde at bruge en adgangskode.

En root-brugerkonto giver det højeste niveau af systemadgang muligt på et MacOS- eller ethvert unix-baseret operativsystem, root giver alle funktioner for administrative brugerkonti på maskinen ud over ubegrænset adgang til ethvert systemniveau komponenter eller filer.

Mac-brugere, der er berørt af sikkerhedsfejlen, omfatter alle, der kører macOS High Sierra 10.13, 10.13.1 eller 10.13.2 betaversioner, som ikke tidligere har aktiveret root-kontoen eller ændret en adgangskode til en root-brugerkonto på Mac'en før, hvilket er langt de fleste Mac-brugere, der kører High Sierra.

Lyder dårligt, ikke? Det er det, men der er en ret nem løsning, der forhindrer denne sikkerhedsfejl i at være et problem. Alt du skal gøre er at angive en root-adgangskode på den berørte Mac.

Sådan forhindrer du root-login uden adgangskode i MacOS High Sierra

Der er to metoder til at forhindre root-login uden adgangskode på en MacOS High Sierra-maskine. Du kan bruge Directory Utility eller kommandolinjen. Vi dækker begge dele. Directory Utility er måske nemmere for de fleste brugere, da det udelukkende udføres fra den grafiske grænseflade på Mac'en, hvorimod kommandolinjetilgangen er tekstbaseret og generelt betragtes som mere kompleks.

Using Directory Utility til at låse root

1. …



2. Klik på det lille låseikon i hjørnet, og godkend med et administratorkonto login



3. Træk nu menuen "Rediger" ned og vælg "Skift root-adgangskode..."



4. Indtast en adgangskode til root-brugerkontoen og bekræft, og klik derefter på "OK"



5. Luk ud af Directory Utility

Hvis root-brugerkontoen endnu ikke er aktiveret, skal du vælge "Aktiver rodbruger" og derefter angive en adgangskode i stedet.

Det eneste, du gør, er at tildele en adgangskode til root-kontoen, hvilket betyder, at login med root derefter vil kræve en adgangskode, som den skal. Hvis du ikke tildeler en adgangskode til at root på denne måde, forbløffende nok, accepterer en macOS High Sierra-maskine et root-login overhovedet uden en adgangskode.

Brug af kommandolinjen til at tildele en rodadgangskode

Brugere, der foretrækker at bruge kommandolinjen i macOS, kan også indstille eller tildele en root-adgangskode med sudo og den almindelige gamle passwd-kommando.

1. Åbn Terminal-applikationen, som findes i /Applications/Utilities/
2. Skriv følgende syntaks nøjagtigt i terminalen, og tryk derefter på returtasten:

sudo passwd root

3. Indtast din administratoradgangskode for at godkende, og tryk retur
4. Ved "Ny adgangskode", indtast en adgangskode, du ikke vil glemme, tryk på retur, og bekræft den

Sørg for at indstille root-adgangskoden til noget, du vil huske, eller måske endda matche din admin-adgangskode.

Hvordan ved jeg, om min Mac er påvirket af den adgangskodefrie root login-fejl?

Det ser ud til, at kun macOS High Sierra-maskiner er påvirket af denne sikkerhedsfejl. Den nemmeste måde at kontrollere, om din Mac er sårbar over for root-login-fejlen, er ved at prøve at logge ind som root uden en adgangskode.

Du kan gøre dette fra den generelle opstartsloginskærm eller via et hvilket som helst admin-godkendelsespanel (ved at klikke på låseikonet), der er tilgængeligt i Systemindstillinger som FileVault eller Users & Groups.

… Du skal trykke på "lås op" to gange, første gang du klikker på knappen "lås op" opretter den root-kontoen med en tom adgangskode, og anden gang du klikker på "lås op" logger den på, hvilket giver fuld root-adgang.

Bugen, som dybest set er en 0-dages root-udnyttelse, blev først rapporteret til offentligheden på Twitter af @lemiorhan og har hurtigt fået damp og mediebevågenhed på grund af den potentielle alvorlighed af påvirkningen. Apple er tilsyneladende klar over problemet og arbejder på en softwareopdatering for at løse problemet.

Påvirker rodlogin-fejlen macOS Sierra, Mac OS X El Capitan eller før?

Den adgangskodeløse root-login-fejl ser ud til kun at påvirke macOS High Sierra 10.13.x og ser ikke ud til at påvirke tidligere versioner af macOS og Mac OS X-systemsoftware.

Hvis du desuden tidligere havde aktiveret root via kommandolinjen eller med Directory Utility eller ændret root-adgangskoden på et andet tidspunkt, ville fejlen ikke virke på sådan en macOS High Sierra-maskine.

Husk, Apple er opmærksom på dette problem og vil udstede en sikkerhedsopdatering i den nærmeste fremtid for at løse fejlen. I mellemtiden kan du gøre dig selv en tjeneste og indstille eller ændre root-adgangskoden på Mac'er, der kører macOS High Sierra for at beskytte dem mod uautoriseret fuld adgang til maskinen og alle dens data og indhold.