Onderzoekers hebben tijdens een conferentie in Zweden een nieuw beveiligings­lek in OS X getoond. Het lek is in OS X Yosemite en oudere versies aanwezig, maar wordt nog niet actief misbruikt. Het lek maakt het omzeilen van beveiligingsmechanismen mogelijk.

Via ‘Rootpipe’ kunnen commando’s als root-gebruiker uitgevoerd worden. Dit is een gebruiker die zonder bevestiging of waarschuwing alles op het systeem mag en kan. Een script maakt het voor beheerdersaccount mogelijk om uit de beveiligingsschil van OS X te breken en zonder het ingeven van een wachtwoord ‘root’ te worden.

In een video is de werking van rootpipe te zien:

Er is weinig bekend over de precieze werking van het kwaadaardige script. De broncode is niet openbaar gemaakt. Apple heeft de beveiligingsonderzoekers gevraagd dit niet voor januari van 2015 te doen. Waarschijnlijk wordt voor die tijd een OS X-beveiligingsupdate uitgebracht.

Twitter wordt niet geladen omdat je geen toestemming hebt gegeven. [Klik hier](javascript:Didomi.notice.show();) om het aan te passen.Wel toestemming gegeven maar niet getoond, herlaad de pagina.

In theorie kan het script dat nodig is om misbruik van het lek te maken, meegeleverd worden bij bijvoorbeeld software die niet uit de App Store komt. Zodra je deze onder een beheerdersaccount opent, kan het lek misbruikt worden. Voor zover bekend kunnen Mac’s niet geïnfecteerd worden door het bezoeken van websites.

Bescherm je Mac, gebruik geen beheerdersaccount Het zekere voor het onzekere? Check of het account dat je gebruikt beheerdersrechten heeft. Het lek werkt alleen als iemand als beheerder is ingelogd. Beheerdersrechten uitzetten is genoeg. Dit gaat als volgt:

Open Systeemvoorkeuren Open Gebruikers en Groepen Kijk of het vinkje bij sta toe dat deze gebruiker de computer beheert uit is Als er maar één account op de Mac is, moet eerst een tweede account dat ook beheerder is aangemaakt worden. Anders zou geen enkele gebruiker nog beheerdersrechten hebben. Dit levert enig ongemak op, zo moet bij het wijzigen van instellingen of installeren van software het wachtwoord van het beheerdersaccount opgegeven worden. Deze wijziging is later makkelijk ongedaan te maken door het vinkje weer aan te zetten. Dan moet er eerst op het hangslot onderaan geklikt worden en dient het wachtwoord van het tweede account ingegeven te worden.