Bereiche
News
Rewind
Tipps & Berichte
Forum
Galerie
Journals
Events
Umfragen
Themenwoche
Kleinanzeigen
Interaktiv
Anmelden
Registrierung
Zu allen empfangenen Nachrichten
Suche...
Zur erweiterten Suche
Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?
Forum
>
Software
>
macOS High Sierra Sicherheitslücke
macOS High Sierra Sicherheitslücke
matt.ludwig
28.11.17
22:02
https://twitter.com/lemiorhan/status/935578694541770752
Puh, das ist echt hart und funktionieren tut es auch wirklich.
Hilfreich?
+10
Kommentare
hrk23
28.11.17
22:12
Eben getestet und funzt wie bei Twitter beschrieben.
************************************************************ ************
Systemeinstellung
Benutzer & Gruppen
Sperrung aufheben (klick auf das Schloss)
Benutzername: root
Passwort: Das Feld leer lassen (kein Passwort).
Dieses mehrmals versuchen.
************************************************************ ***********
Bei zweiten Versuch, Treffer.....
„*** Software is like sex; it's better when it's free. *** Linus Torvalds“
Hilfreich?
0
Bigflitzer
28.11.17
22:14
Ups ja geht tatsächlich nach mehrmaligen probieren.
Hilfreich?
0
matt.ludwig
28.11.17
22:18
Ja, ich habe auch mal einen User ohne Admin Rechte getestet, auch da klappt alles. Man man, das ist echt übel.
Haha, sogar als Gast User.
Hilfreich?
0
xaibex
28.11.17
22:21
Das ist mal wieder der Beweis dass es mit der Qualität der Software bei Apple leider steil bergab geht...
Hilfreich?
0
Wurzenberger
28.11.17
22:21
Kann den Fehler nicht reproduzieren.
Hilfreich?
0
matt.ludwig
28.11.17
22:22
Aber viele andere, er ist wirklich da, oder hast du dem root user explizit ein Passwort gesetzt?
Wurzenberger
Kann den Fehler nicht reproduzieren.
Hilfreich?
+1
hrk23
28.11.17
22:23
Das ist keine
Sicherheitslücke
, sondern wahrscheinlich oder eigentlich wieder einer der netten
B
u
g
s
!
„*** Software is like sex; it's better when it's free. *** Linus Torvalds“
Hilfreich?
+2
Wurzenberger
28.11.17
22:24
matt.ludwig
Aber viele andere, er ist wirklich da, oder hast du dem root user explizit ein Passwort gesetzt?
Nicht dass ich wüsste.
Hilfreich?
-1
Hannes Gnad
28.11.17
22:24
DAS ist echt ein Knaller. Gerade erfolgreich nachvollzogen mit 10.13.1 und 10.13.2 Beta 2. Und, ganz stark sein: Das geht auch mit Remote Desktop!
Oh, Apple, mein Apple.
Ich gehe jetzt ins Bett, und wache hoffentlich morgen in einer Welt auf, in der das gefixt ist.
Hilfreich?
+6
matt.ludwig
28.11.17
22:25
Ein Bug der eine Sicherheitslücke offenbart, ok?
hrk23
Das ist keine
Sicherheitslücke
, sondern wahrscheinlich oder eigentlich wieder einer der netten Bugs!
Hilfreich?
0
matt.ludwig
28.11.17
22:26
Ohje, wenn ich sowas lesen muss von dir ... ich drücke die Daumen.
Hannes Gnad
DAS ist echt ein Knaller. Gerade erfolgreich nachvollzogen mit 10.13.1 und 10.13.2 Beta 2. Und, ganz stark sein: Das geht auch mit Remote Desktop!
Oh, Apple, mein Apple.
Ich gehe jetzt ins Bett, und wache hoffentlich morgen in einer Welt auf, in der das gefixt ist.
Hilfreich?
+1
matt.ludwig
28.11.17
22:30
Wenn du unter High Sierra unterwegs bist, sollte es funktionieren, wenn nicht - schätz dich glücklich.
Wurzenberger
matt.ludwig
Aber viele andere, er ist wirklich da, oder hast du dem root user explizit ein Passwort gesetzt?
Nicht dass ich wüsste.
Hilfreich?
+1
Wurzenberger
28.11.17
22:32
Jop, 10.13.1
Hilfreich?
0
aqua01
28.11.17
22:32
Wow, das geht nicht nur bei Benutzer & Gruppen.
Schon heftig wenn man Security so einfach ausser Kraft setzen kann. Vielleicht sollte sich Apple wieder mehr auf Qualität als auf Animojis konzentrieren.
Hilfreich?
+11
coffee
28.11.17
22:46
WTH:
Ich werde jetzt ruhig und tief schlafen, nachdem ich das Adminfel der Eingabemaske mit einem Klebebandstreifen gegen Beschreiben gesperrt habe.
„Simplicity is the ultimate Sophistication (Steve Jobs)“
Hilfreich?
+4
Megaseppl
28.11.17
22:50
Selbst eine Systemanmeldung mit root und leerem Kennwort funktioniert bei mir.
Oh Apple...
Naja, Workaround ist, sich mit dem root-User anzumelden und dann erstmal ein Kennwort zu setzen.
Aber das ist echt ein krasser und ziemlich peinlicher Bug.
Hilfreich?
+2
matt.ludwig
28.11.17
22:55
Das Kennwort kann aber auch jeder andere setzen
Megaseppl
Selbst eine Systemanmeldung mit root und leerem Kennwort funktioniert bei mir.
Oh Apple...
Naja, Workaround ist, sich mit dem root-User anzumelden und dann erstmal ein Kennwort zu setzen.
Aber das ist echt ein krasser und ziemlich peinlicher Bug.
Hilfreich?
+1
Megaseppl
28.11.17
22:59
matt.ludwig
Das Kennwort kann aber auch jeder andere setzen
Nur der, der dies zuerst durchführt. Danach muss das korrekte Kennwort eingegeben werden.
Hilfreich?
+1
matt.ludwig
28.11.17
23:06
Jep schon klar
Megaseppl
matt.ludwig
Das Kennwort kann aber auch jeder andere setzen
Nur der, der dies zuerst durchführt. Danach muss das korrekte Kennwort eingegeben werden.
Hilfreich?
0
Megaseppl
28.11.17
23:16
Megaseppl
Selbst eine Systemanmeldung mit root und leerem Kennwort funktioniert bei mir.
Oh Apple...
Ich muss das hier leicht korrigieren: Die Systemanmeldung mit root und leerem Kennwort funktioniert erst dann, wenn man einmal das Schloss in den Systemeinstellung mit dem root-User entsperrt hat. Erst wenn dies einmal gemacht wurde kann man sich damit auch einloggen. Vermutlich gibt es dafür aber auch noch andere Wege...
Hilfreich?
+1
breaker
28.11.17
23:33
Apple arbeitet an einem Update:
Hilfreich?
0
Mendel Kucharzeck
28.11.17
23:36
News dazu ist online:
Hilfreich?
+4
jogoto
29.11.17
00:20
Hätte ich gerne mal ausprobiert. Ich hab nur schon immer ein Passwort für root vergeben. Vorahnung?
Hilfreich?
+1
MacRudi
29.11.17
05:29
Man muss dafür aber nicht nur root eingeben, sondern auch den Cursor in das Feld Passwort setzen.
Hilfreich?
-2
matt.ludwig
29.11.17
07:10
Nein, ein bekannter schon, ein anderer und ich nicht
MacRudi
Man muss dafür aber nicht nur root eingeben, sondern auch den Cursor in das Feld Passwort setzen.
Hilfreich?
0
MacRudi
29.11.17
07:29
Gut, dann also nur ich
Hilfreich?
-1
coffee
29.11.17
10:33
Wie jetzt bekannt wurde, soll der für die Panne verantwortliche Entwickler ein Animoji in den Code geschmuggelt haben. Es soll sich dabei um einen jubilierenden Kackehaufen handeln. 💩
„Simplicity is the ultimate Sophistication (Steve Jobs)“
Hilfreich?
+5
marco m.
29.11.17
10:55
Quatsch, das war der Entwickler, dessen Tochter das Video vom iPhone X bei Youtube eingestellt hat.
„Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!“
Hilfreich?
+2
Megaseppl
29.11.17
11:45
Der Bug wurde schon vor zwei Wochen im Apple-Forum beschrieben:
"Again, head over to System Preferences>Users & Groups. Click on the Lock Icon. When prompted for username and password, type username: root and leave the password empty. Press enter. This might throw an error, but try again immediately with the same username: root and empty password. This should unlock the Lock Icon."
Hilfreich?
+3
matt.ludwig
29.11.17
11:52
Megaseppl
...
Das setzt der Sache nochmals einen drauf
Hilfreich?
+2
Macdoor
29.11.17
12:01
Und alle die seit Jahren auf 10.6 schwören und behalten fühlen sich bestätigt
Aber joa...Schon nicht so optimal gelaufen. Najasollte ja schnell behoben sein
„Jeder hat das Recht auf seine eigene falsche Meinung“
Hilfreich?
-1
Fehler 11
29.11.17
12:33
Macdoor
Und alle die seit Jahren auf 10.6 schwören und behalten fühlen sich bestätigt
Aber joa...Schon nicht so optimal gelaufen. Najasollte ja schnell behoben sein
Alle, die immer noch auf 10.6 schwören haben ganz andere Probleme...
Ohne Firmware PW ist man in 2 Minuten root auf jeder Kiste.
Hilfreich?
+3
Peter Eckel
29.11.17
12:39
aqua01
Vielleicht sollte sich Apple wieder mehr auf Qualität als auf Animojis konzentrieren.
Das ist der Satz des Tages für mich. Ohne "vielleicht".
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+2
Peter Eckel
29.11.17
12:42
Megaseppl
Naja, Workaround ist, sich mit dem root-User anzumelden und dann erstmal ein Kennwort zu setzen.
Geht einfacher.
macallan:~ pete$ sudo passwd root
Password:
Changing password for root.
New password:
Retype new password:
macallan:~ pete$
Ruhe ist.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
Peter Eckel
29.11.17
12:43
jogoto
Hätte ich gerne mal ausprobiert. Ich hab nur schon immer ein Passwort für root vergeben. Vorahnung?
Gesunder Menschenverstand, würde ich sagen
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+1
Peter Eckel
29.11.17
12:45
Fehler 11
Ohne Firmware PW ist man in 2 Minuten root auf jeder Kiste.
Aber nicht remote. Das ist schon nochmal ein anderes Kaliber.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
0
matt.ludwig
29.11.17
12:55
Peter Eckel
Megaseppl
Naja, Workaround ist, sich mit dem root-User anzumelden und dann erstmal ein Kennwort zu setzen.
Geht einfacher.
macallan:~ pete$ sudo passwd root
Password:
Changing password for root.
New password:
Retype new password:
macallan:~ pete$
Ruhe ist.
Leider nein
Hilfreich?
0
someone
29.11.17
13:19
Macdoor
Und alle die seit Jahren auf 10.6 schwören und behalten fühlen sich bestätigt
Aber joa...Schon nicht so optimal gelaufen. Najasollte ja schnell behoben sein
Behoben ja, wirft aber ein katastrophales Licht auf die Art der Softwareentwicklung bei Apple...
Hilfreich?
+2
Peter Eckel
29.11.17
13:35
matt.ludwig
Leider nein
Interessant. Ich habe das "Directory Utility" nie benutzt, und bislang hat das Setzen des Paßworts für root immer ausgereicht, um den Account auch nutzbar zu machen.
Gerade getestet (HS 10.13.2): Das Setzen des root-Paßwortes über die Shell setzt auch das "Enable Root User"-Flag im Directory Utility. Also alles beim alten: 'sudo passwd root' reicht, wenn man nicht hinterher hergeht und root im Directory Utility wieder deaktiviert.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+1
sierkb
29.11.17
15:26
Peter Eckel
Fehler 11
Ohne Firmware PW ist man in 2 Minuten root auf jeder Kiste.
Aber nicht remote. Das ist schon nochmal ein anderes Kaliber.
Leider offenbar auch remote
,
,
,
,
.
Analyse von Patrick Wardle:
Hilfreich?
-2
Peter Eckel
29.11.17
15:40
sierkb
Peter Eckel
Fehler 11
Ohne Firmware PW ist man in 2 Minuten root auf jeder Kiste.
Aber nicht remote. Das ist schon nochmal ein anderes Kaliber.
Leider offenbar auch remote
Du hast den Kontext des von Dir zitierten Beitrags offenbar nicht verstanden.
„Ceterum censeo librum facierum esse delendum.“
Hilfreich?
+2
sierkb
29.11.17
16:06
Peter Eckel
Du hast den Kontext des von Dir zitierten Beitrags offenbar nicht verstanden.
Möglicherweise habe ich Deine Bemerkung, auf die ich mich bezogen habe und die Bemerkung, auf die Du Dich mit Deiner Bemerkung bezogen hast, missverstanden, dann bittte ich um Entschuldigung. Wie war sie dann
denn
gemeint, auch in Bezug auf den gesamten und spezifischen Kontext, auf den Du Dich bezogen hast? Ich denke, Du und ich denken da insgesamt gerade gleich, möglicherweise ist das hier nur ein kleines Missverständnis, das sich schnell aufklären lässt.
Wie hast Du Deine Antwort
Peter Eckel
Fehler 11
Ohne Firmware PW ist man in 2 Minuten root auf jeder Kiste.
Aber nicht remote. Das ist schon nochmal ein anderes Kaliber.
also gemeint, wenn nicht so, wie ich es (Deiner Ansicht nach falsch, dann bitte ich dankbar um diesbzgl. Klarstellung und Korrektur meines Gesagten) verstanden habe?
Hilfreich?
-3
sierkb
29.11.17
16:36
Peter Eckel:
Die Lücke lässt sich laut Aussage mancher (s.o.) angeblich auch remote ausnutzen bzw. kommt angeblich auch da zum Tragen, unter bestimmten Bedingungen, wenn bestimmte Netzwerkdienste genutzt werden bzw. zur Nutzung aktiviert/freigeschaltet sind. Korrigiere mich bitte und stelle es bitte richtig, wenn das eine unrichtige Aussage dererseits oder eine unrichtige Wiedergabe meinerseits sein sollte. Zusatzfrage: würde/müsste das Setzen eines Firmware-Passwortes auf dem Zielrechner einen solchen Remote-Zugriff vereiteln oder nicht, oder klappt's auch, egal ob ein Firmware-Passwort gesetzt ist oder nicht?
Hilfreich?
-2
Fehler 11
29.11.17
17:08
Das Firmware-Passwort gilt nur für die Firmware bzw. das EFI. Wenn man aber mit der Recovery booten kann, dann kann man auch im Terminal den root User aktivieren bzw. die Kennwörter der bestehen User ändern.
VNC uns ARD sind ja meines Wissens nicht automatisch aktiviert. Inwiefern man den Bug über ssh ausnützen kann müsste man ausprobieren. Scheint aber auch per default deaktiviert zu sein.
Hilfreich?
0
aqua01
29.11.17
18:00
Fix ist da, einfach über Updates laden.
Zumindest das ging schnell.
Hilfreich?
0
sierkb
29.11.17
18:29
Physical control doesn't matter.
There is a way to elevate user-level access to root-level access from
any
shell script (and, possibly (not verified), from
any
Mac app).
Every
High Sierra system which hasn't had root password set from very first moment after installing the OS should be treated as compromised.
Quelle:
Fehler 11:
Successfully tested SSH remote root access via this bug. Also only seems to be part of the upgrade path to High Sierra. Clean installs of HS do not seem to encounter this issue.
Quelle:
(in den Kommentaren)
This is exploitable via SSH tunneling? Ouch.
Also, a CERT analyst has noted that Apple Screen Sharing and Remote Management can give access to attackers using this vulnerability. That really stinks. Source:
https://twitter.com/wdormann/status/935626466481639428
https://twitter.com/wdormann/status/935630148229107713
Quelle:
(in den Kommentaren)
Gott sei Dank hat Apple schnell reagiert und just gerade eben einen Fix veröffentlicht. Aufgefallen und bekannt ist diese eklatante Lücke ja schon seit mindestens 2 Wochen, wie Megaseppel obig
richtigerweise drauf hingewiesen und verlinkt hat.
Wie konnte so ein eklatanter und übler Fehler passieren und der hauseigenen Qualitätssicherung (QA) überhaupt entgehen, von ihr nicht rechtzeitig und rechtzeitig
vor
Release/Freigabe von HighSierra im Rahmen hausinterner Tests und auch während der Beta- und Prerelease-Phase entdeckt und noch frühzeitig korrigiert werden?
Hilfreich?
0
coffee
30.11.17
07:03
So: Sicherheitsupdate ist installiert. Vorerst ist Ruhe. 🙄
Wer eröffnet den Next-Bug-Wartethread ? 🤔
„Simplicity is the ultimate Sophistication (Steve Jobs)“
Hilfreich?
+1
aqua01
30.11.17
08:00
Habe das Update gleich nach Erscheinen installiert. Interessanterweise bietet mir mein System das selbe Update heute Morgen auf meinen beiden Rechnern noch einmal als Update an.
Hilfreich?
0
coffee
30.11.17
08:17
aqua01
Schau mal, was
motiongroup in den News dazu sagt:
„Simplicity is the ultimate Sophistication (Steve Jobs)“
Hilfreich?
0
Kommentieren
Diese Diskussion ist bereits mehr als 3 Monate alt und kann daher nicht mehr kommentiert werden.
Visa sah Apple als "existenzielle Bedrohung" an
Mac mini M4
iPhone 16 Pro: Tippen oder Wischen ignoriert, N...
Apple Watch Series 10
Kopplung "iPhone + Apple Watch" sowie Anbindung...
Musikbranche verklagt KI-Anbieter
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...
Bewertung der gestrigen Neuvorstellungen: Umwer...