De nieuwste versie van Apple-besturingssysteem macOS bevat een ernstig lek. Gebruikers kunnen zonder de opgaaf van een wachtwoord volledige toegang tot het systeem krijgen.

Dat ontdekte ontwikkelaar Lemi Ergin, die zijn ontdekking via Twitter deelde. Apple zegt te werken aan een software-update die het lek dicht.

Het lek maakt het mogelijk om bij een ingelogd account de vergrendelde inlog-opties in de systeeminstellingen te openen als beheerdersaccount 'root'. Zonder verder een wachtwoord in te voeren biedt macOS High Sierra dan toegang.

Root-toegang is de hoogste toegang, waardoor de gebruiker bij alle bestanden op de computer kan, en ook wachtwoorden kan aanpassen. Het is mogelijk om vanaf het loginscherm van de Mac als root in te loggen, nadat de bug eenmaal in de systeeminstellingen is gebruikt.

Het lek werkt ook als gebruikers schijfencryptie FileVault gebruiken, en als de inlogmogelijkheid voor een gastgebruiker is uitgeschakeld. 

Tijdelijke oplossing

Een tijdelijke oplossing voor de kwetsbaarheid is om handmatig de root-gebruiker in te schakelen in macOS. Die kan dan worden voorzien van een eigen wachtwoord, waardoor inloggen met een leeg wachtwoordveld niet meer mogelijk is.

Het is niet duidelijk of Ergin het lek voor openbaarmaking bij Apple heeft gemeld. Het bedrijf heeft nog niet op het lek gereageerd, en het is niet duidelijk op welke termijn de kwetsbaarheid gedicht zal worden.

High Sierra kwam op 25 september uit voor Mac-computers. De meest recente versie, 10.13.1, verscheen op 31 oktober en bevat de kwetsbaarheid.