Reacties voor: Ernstige High Sierra-bug geeft iedereen admin-rechten: update nu te downloaden
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Apple gaat lekker de laatste tijd met macOS, eerst die wachtwoordhint-bug en nu dit!
net geprobeerd, werkt niet op mijn MacBook Pro 2017
Edit: sorry toch wel..
Tim Cook: ‘At Apple, we believe privacy is a fundamental human right’
Snel oplossen zou ‘k zo zeggen, wie weet wat easy achterpoortjes zijn er nog allemaal :-/
Dit is best een grote fout. Wordt Apple slordig met de software? Na dit soort berichten ben ik blij dat ik nog El Capitan draai, nog nooit zo’n stabiel OS gehad.. 🙂
alweer een bug/foutje ….
gaat lekker bij apple software :S
Bij mij werkt het niet. Ik denk als je al een root paswoord hebt, dat dan deze genomen wordt. Heb je root niet ingesteld dan werkt het volgens mij.
Artikel is dus verkeerd: Kijk in de menubalk en kies Wijzig rootwachtwoord. Is deze optie grijs en heb je alleen de optie Schakel rootgebruiker in, dan heb je nog geen rootgebruiker en hoef je niets te doen. Dit klopt niet, dan hoef je net wel iets te doen! Zie engelse tekst.
@Ken: Je hebt gelijk. Het stappenplan is nu aangepast met de correcte informatie.
Dit werkt inderdaad als je nooit je root password hebt aangepast. Een normale mac gebruiker weet waarschijnlijk niet eens dat de user root bestaat dus valt het Apple wel kwalijk te nemen dat ze je niet verplichten om een wachtwoord te zetten.
De filosofie van Apple is om de gebruiker niet lastig te vallen met deze details en dat het gewoon zou moeten werken. Dit is dan wel een beetje jammer.
Dus tip voor de gevorderde gebruiker is om altijd het root password aan te passen. Desnoods met de terminal app met het commando ‘su -‘ en dan ‘passwd’.
Deze gebruiker vond de bug 2 weken geleden en dacht dat het een feature was (onderste reactie)
Geinig inderdaad. Vraag is of die user het ook gemeld heeft via de beta feedback programma.
Het blijkt maar weer dat al die public beta programma’s niet voldoende opleveren qua bug killing. En dit gewoon al in 2 versies zat van high sierra.
@Jean-Paul Horn: volgens mij klopt het nog niet. Hoe kan je een item nu aanklikken als hij grijs/inactief is?
@Farl: Die twee stappen stonden in de verkeerde volgorde.
Dit is geen bug meer dit is een regelrechte blunder van de eerste orde. Complete mac is volledig onbeveiligd.
@iculture
Over de 10.13 veiligheidsbug: als je een PRAM reset doet op de Mac dan moet je daarna altijd weer in Systeemvoorkeuren/iCloud ‘Find my Mac’ aanzetten en in Gebruikers en groepen Gasttoegang uitzetten. (laatste wordt nl. weer enabled met een PRAM reset)
Dit heeft natuurlijk niets met stabiliteit te maken. High Sierra is verder gewoon stabiel. Wel slordige fout, daar ben ik het roerend mee eens.
sudo passwd root
dit is wel een heel makkelijke bug… ook even getest bij zaken als sleutelhanger (bij bv airport regels moet je user en passw opgeven) je krijgt zo inzicht in het wachtwoord.
@Jeroen Jansen: Ik vind het ook redelijk onverstandig om door een Twitter de hele wereld te vertellen dat je op eenvoudige manier kan inbreken op elke Mac met macOS High Sierra. Verder onbegrijpelijk hoe dit door alle uitgebreide Beta testen is gekomen. Volgens artikelen hebben duizenden ontwikkelaars en nog veel meer eindgebruikers deze fout niet gevonden. Wat mij betreft ik had nog nooit van een user root gehoord, maar via de duidelijke opgave hoe ik moet aanpassen is het geregeld. Dank hiervoor.
Wat ik begrijp is dat het misbruik alleen kan plaatsvinden als iemand fysiek toegang heeft tot je Mac?
Dan valt ‘t mij alleszins mee…
Duur betalen voor een Touch Bar met Fingerprint Login en dan kan je er zó in. Ik ben benieuwd of dit muisje nog een staartje heeft…
Ik heb een MBP 2016 en bij mij kan ik er niet in. Als ik “root” zonder ww intyp schudt alleen het venster heen en weer, zonder dat ik ooit een rotogebruiker heb aangemaakt. Betekent dit dat mijn computer ‘veilig’ is?
Ja. Betekent dat je een root wachtwoord hebt ingesteld
Als bedrijf zet je daar toch 499 mensen op gefixt in 1 uur??
(Red.) Het artikel is nu bijgewerkt met de informatie dat de beveiligingsupdate nu beschikbaar is in de mac App Store.
Update is beschikbaar.
Thx voor het pushbericht dat de update beschikbaar is 👍
…fix beschikbaar!! as we speak!!…
Kun je die forceren? Echt met 3 iPads 4 iPhones en 3 MacBooks in huis allemaal op appleseed beta is er geen pijl op te trekken wie wanneer zijn update krijgt.
@Jeroen: Dit gaat niet over iOS maar macos, daarbij krijg je op alle devices tegelijk de update.
Of er moet een grote release zijn dat de update servers druk zijn.
Dus je MacBook opstarten app store openen en gewoon updates klikken, dan gaat die op updates controleren.
Ik heb vanavond 10.13.2 geïnstalleerd, en daarna pas het artikel gezien, is daarmee nu ook de patch geïnstalleerd? (dus is het ook in 10.13.2 gestopt?)
Ik krijg namelijk geen melding dat ik die security patch moet installeren als ik nu bij de updates kijk.
@Chris: Als je de update alsnog krijgt zit ‘ie niet in 10.13.2. Dus alsnog installeren s.v.p.
@Chris: Beta 5 zou ook de fix moeten bevatten volgens diverse berichten op o.a. Twitter.
@Jean-Paul, Hij weigert de installatie. waarschijnlijk omdat het 10.13.2 bèta (17C83a) is.
Heel begrijpelijk juist dat dit er in de bèta’s niet uitkomt, sommige fouten zijn zo onwaarschijnlijk dat niemand erop gaat testen. Dit is er zo één, niet eens meer een beginnersfout te noemen.
Root-toegang is zo basaal voor hacks op op Unix gebaseerde systemen dat professionele testers er waarschijnlijk geen moment rekening mee hebben gehouden dat een bedrijf als Apple zo’n kapitale blunder juist daarin zou maken, en mensen zonder Unix kennis hebben (net als jij) meestal geen idee dat er zoiets is als een standaard aanwezige root gebruiker.
Mag toch hopen dat dit echt gevolgen gaat hebben voor de schuldigen, als je al ziet wat met Scott Forstall is gebeurd om uitsluitend formele verantwoordelijkheid voor bugs in één enkele, overbodige en inmiddels dan ook volkomen terecht verwijderbare, app dan kan het volledig ondermijnen van de beveiliging van (zoveel installaties van) een heel OS natuurlijk onmogelijk onbestraft blijven als ze na dit debâcle nog maar een greintje geloofwaardigheid willen overhouden…
Het delen via twitter, hoewel slim noch sociaal, is wel een beetje inherent aan het medium: vooral gebruikt door mensen die lijden aan informatiediarree en daardoor niets kunnen binnenhouden 😖
Goeie tip, gasttoegang ooit uitgezet en nooit meer naar omgekeken. Stond nu dus weer aan 😖
Nog al zo’n blunder, die de beveiliging ondermijnt op een manier waar geen normaal denkend mens rekening mee houdt…
@Wout2morrow: helemaal mee eens. Dit moet gevolgen hebben voor iemand. Maar aan de andere kant snap ik best hoor dat iemand het op Twitter smijt. Het stond al ruim twee weken (!) op Apple’s eigen forum. En het is niet de eerste keer dat Apple totaal niet reageert op ernstige veiligheidsfouten tot iemand (dreigt) het op internet te gooien. En als je geen moderator naar je eigen forums laat kijken… het is sowieso bizar wat daar soms aan onderwerpen voorbij komt waar kennelijk geen engineer of moderator naar kijkt. Nooit zie je daar een inhoudelijke reactie van Apple zelf.
@Wout2morrow: Zonder weg te zakken in een verhandeling over testmethodiek. Apple heeft blijkbaar in macOS High Sierra aanpassingen doorgevoerd in de toegangscontrole(s). Dit deel zou dan zeker getest moeten worden om te bewijzen dat de niet te wijzigen functionaliteit nog gelijk is. In ieder geval zou in de testset het ‘root’-geval opgenomen moeten zijn. Waarschijnlijk zal Apple naast de programmering ook de testmethodiek nog eens precies moeten bekijken,
Beveiligingsupdate 2017-001 is uit die deze bug oplost.
Ik zie geen update maar draai macOS 10.13.2 Developer Beta versie 5 die net uitkwam voor dit nieuws. Ik neem aan dat deze update er niet in zit en mijn MacBooks alle drie niet veilig zijn ivm de beta software. En ook geen update vinden omdat die scant op gangbare macOS?
@Kees: ‘Het root geval’ bestaat al sinds het absolute begin in Unix-achtige besturingssystemen. Daarin is ook niets veranderd, maar op een of andere bizarre manier is het iemand gelukt daarvoor het wachtwoord te veranderen in ‘leeg’ op een manier die mee heeft kunnen liften met de update, tot zelfs in de final release versie daarvan aan toe.
Dat is op zich al bijzonder bij wat in de kern zuiver een software-update zou moeten zijn, maar valt technisch nog wel te verklaren uit bv een installatiescriptje oid.
Maar los van degeen die dat is gelukt legt dit ook een heel groot probleem bloot in oa Apple’s QA en release-management dat dit überhaupt dit stadium heeft bereikt. Het werk van iemand die die mogelijkheid heeft en kennelijk niet zelf de consequenties heeft doorzien had op meerdere momenten gecontroleerd moeten worden door verschillende andere in het proces betrokkenen binnen Apple.
Dat zo’n kapitale fout er ergens in is geslopen is één ding, het blijft mensenwerk, maar dat die onopgemerkt het hele traject tot in de final release is doorgeglipt laat zien dat kwaliteit bij Apple structureel niet goed geborgd is.
Vind persoonlijk overigens sowieso dat het absoluut ongewenst is dat een software update überhaupt bestaande instellingen verandert, laat staan instellingen die betrekking hebben op systeemtoegang (in dit geval root én gast gebruikers)