Terminal is een programma waarmee je jouw Mac kan besturen via de zogenaamde ‘command line’, code waardoor je Mac weet wat die moet doen. Dat werkt veel sneller, je Mac hoeft alleen maar de code uit te voeren, er wordt helemaal geen energie besteed aan welke visuele interactie dan ook.

In Terminal is sudo een van de meest krachtige commando’s, code die daarmee gepaard worden ingevoerd worden als superuser of substitute user uitgevoerd. Daarvoor heb je normaal wel een wachtwoord van een account met voldoende rechten voor nodig. Maar Joe Vennix van Apple security vond een gat hierin, waarbij iedereen commando’s kon uitvoeren met maximale rechten. Het probleem deed zich voor bij zowel macOS als  Linux.



Die laatste zin hiervoor staat in de verleden tijd; Apple heeft afgelopen week updates uitgebracht die dit hebben gecorrigeerd. Die updates waren voor Catalina en voor zowel Mojave als High Sierra. De tracking code die die bug heeft meegekregen is CVE-2019-18634.

Als je naar de informatie van Apple over de beveiligingsinhoud van deze beveiligingsupdates kijkt dan kan je zien dat deze tracking code daar inderdaad tussen staat. Daar zie je trouwens ook hoeveel bugs er in deze beveiligingsupdate werden opgelost, dat zijn er maar liefst 27 in totaal.



#macOS #Update

Aha, dat verklaart waarom er vorige week zoveel updates waren voor systemen die eigenlijk al geen updates meer kregen....

Overigens wel goed om te vermelden dat dit geen issue was in een default Apple-installatie.
Dus alleen mensen die sudo zo ingesteld hebben dat je **** ziet tijdens het intypen van het wachtwoord zijn kwetsbaar.

Ik ben intensief sudo-gebruiker, maar heb nooit de behoefte gehad om die optie aan te zetten.
Naar alle waarschijnlijkheid is er dus slechts een heel klein deel van de Apple-gebruikers die hier echt kwetsbaar door waren.

Fijn ook dat het een keer een Apple-ontwikkelaar is die een kwetsbaarheid vind in een vrij standaard unix en linux-component.