image

Apple dicht beveiligingslek in macOS High Sierra

woensdag 29 november 2017, 17:40 door Redactie, 19 reacties

Apple heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in macOS High Sierra waardoor een aanvaller met fysieke toegang, en in bepaalde gevallen ook op afstand, rootrechten kon krijgen. Als het besturingssysteem om een gebruikersnaam en wachtwoord vraagt was het voldoende om "root" als gebruikersnaam op te geven en het wachtwoordveld leeg te laten.

Door vervolgens verschillende keren op unlock te klikken konden rootrechten worden verkregen. Volgens Apple werd het probleem veroorzaakt door een logische fout in de controle van inloggegevens. Deze controle is nu aangescherpt. Gebruikers van macOS High Sierra krijgen het advies om Security Update 2017-001 te installeren, wat via de automatische updatefunctie van het besturingssysteem mogelijk is.

Reacties (19)
29-11-2017, 17:50 door Anoniem
Ik heb het zo juist geinstalleerd inderdaad,wel vlot dat ze dat meteen na de melding van die onderzoeker dit lek hebben verholpen,meestal gaat er weken over heen tot een volgende patch cyclus naar Mac OS High sierra 10.13.2 of zo.
29-11-2017, 17:55 door Anoniem
En gefixed.
29-11-2017, 18:15 door Anoniem
Heb hem net binnen. Dank!
29-11-2017, 18:43 door Anoniem
Updaten gaat automatisch of je ziet je Appstore icoon in het dock rood oplichten met een getalletje van het aantal beschikbare updates.

Automatisch security updates binnenhalen en installeren is een optie die zeer wel mogelijk al zo staat ingesteld.
https://support.apple.com/en-us/HT201541
https://support.apple.com/en-us/HT204536

Het kan dus best zo zijn dat veel gebruikers dit poeha nieuws gemist hebben, niet weten wat een root account is en ook niet weten dat de update al is geïnstalleerd.
Best een luxe, anderen laten rollebollen over security en zelf nuttige dingen kunnen blijven doen omdat het al voor je geregeld is.

Jammer dat er eerst ophef in de media over moest ontstaan, of zou Apple werkelijk 16 dagen nodig gehad hebben om dit probleem op te lossen?
Wie weet.
29-11-2017, 19:02 door Anoniem
Het is snel gefixt dus zo moeilijk was het niet, de vraag is niet hoe dit kon gebeuren maar waarom het gebeurd nadat Steve Jobs er niet meer is.
29-11-2017, 20:13 door Anoniem
Deze bug is dus één van de redenen dat niet iedereen deze versie van OSX direct heeft geïnstalleerd. De markt is conservatief. En zal dat altijd ook wel blijven.
29-11-2017, 20:32 door Briolet - Bijgewerkt: 29-11-2017, 20:33
De melding is ook met een ander icoon dan bij een reguliere update. Volgens mij heb ik deze form met de melding dat er een "veiligheidsupdate" is, nog niet eerder gezien.

In elk geval verhoogt dit de attentiewaarde t.o.v. gewone updates, die sommige mensen misschien gaan uitstellen.
29-11-2017, 21:06 door Anoniem
Door Anoniem: Deze bug is dus één van de redenen dat niet iedereen deze versie van OSX direct heeft geïnstalleerd. De markt is conservatief. En zal dat altijd ook wel blijven.
Nee, en een beetje ja.
Apple is gewoon veel te snel met het aanbieden van een jaarlijkse upgrade.

Upgraden lijkt leuk maar is het vaak niet.
Niet door de bugs maar door de zaken die er niet meer door werken of zijn veranderd dan wel gewoon zijn afgeschaft.

Daarnaast zou iedereen moeten weten dat je niet direct moet upgraden naar het nieuwe MacOS maar wacht tot de eerste of tweede update er van.
Dus overstappen pas als 10.13.1 of zelfs 10.13.2 uit is.

Maar er is niets conservatiefs aan om op 10.11 te blijven zitten als dat nog support ontvangt.
Ik draai ook nog wel andere systemen omdat het nuttiger is die niet te upgraden.
En daar ben ik echt niet de enige in.
Ondanks het verwijt van buitenstaanders staan velen heel goed met beide benen nuchter en wel op de grond.

Apple moet de markt domineren met nieuwigheden en verandering.
Maar dat betekent nog niet dat degenen die daar uit functionele overwegingen niet in mee gaan dan dus conservatief zijn.
Eerder realistitisch, voeten op de grond.
"Work, don't play",
Die is al bezet door een klusmerk maar zeker van toepassing op niet upgraders.

Kwam er maar een ESR versie van MacOS uit.
Waarom moet de nieuwe iMac pro een extra chip voor Siri?
Lazer op met je Siri, ik wil niet dat mijn Mac door dit soort shit geactiveerd kan worden.
Als er minimaal 5000 euro moet worden neergeteld zou ik verwachten van dat soort onzin verlost te zijn.
Maar nee, helaas.*

Niet lullen tegen je Mac maar werken met die Mac!


* Altijd wachten als het kan op de 2e versie, de 1e revisie van een nieuw model een ruim half jaartje later.
29-11-2017, 21:11 door Anoniem
Door Anoniem: Updaten gaat automatisch of je ziet je Appstore icoon in het dock rood oplichten met een getalletje van het aantal beschikbare updates.

Automatisch security updates binnenhalen en installeren is een optie die zeer wel mogelijk al zo staat ingesteld.
https://support.apple.com/en-us/HT201541
https://support.apple.com/en-us/HT204536

Het kan dus best zo zijn dat veel gebruikers dit poeha nieuws gemist hebben, niet weten wat een root account is en ook niet weten dat de update al is geïnstalleerd.
Best een luxe, anderen laten rollebollen over security en zelf nuttige dingen kunnen blijven doen omdat het al voor je geregeld is.

Jammer dat er eerst ophef in de media over moest ontstaan, of zou Apple werkelijk 16 dagen nodig gehad hebben om dit probleem op te lossen?
Wie weet.
"Jammer dat er eerst ophef in de media over moest ontstaan"?
Dude, dit werkte ook vanaf het LOGIN scherm. fanboys gonna fanboy I suppose.
29-11-2017, 22:46 door Anoniem
Door Anoniem:
Door Anoniem: Updaten gaat automatisch of je ziet je Appstore icoon in het dock rood oplichten met een getalletje van het aantal beschikbare updates.

Automatisch security updates binnenhalen en installeren is een optie die zeer wel mogelijk al zo staat ingesteld.
https://support.apple.com/en-us/HT201541
https://support.apple.com/en-us/HT204536

Het kan dus best zo zijn dat veel gebruikers dit poeha nieuws gemist hebben, niet weten wat een root account is en ook niet weten dat de update al is geïnstalleerd.
Best een luxe, anderen laten rollebollen over security en zelf nuttige dingen kunnen blijven doen omdat het al voor je geregeld is.

Jammer dat er eerst ophef in de media over moest ontstaan, of zou Apple werkelijk 16 dagen nodig gehad hebben om dit probleem op te lossen?
Wie weet.
"Jammer dat er eerst ophef in de media over moest ontstaan"?
Dude, dit werkte ook vanaf het LOGIN scherm. fanboys gonna fanboy I suppose.

Dude als je dat niet zelf verandert, wat de meeste mensen niet hebben gedaan krijg je helemaal niet zo'n login scherm waar je dat kan invullen.
Dan kan je alleen kiezen uit accounts die je kan aanklikken en kan je alleen een wachtwoord invullen.

Ga maar eens je systeemvoorkeuren paneel verkennen dude.
Dat wordt hoog tijd.
29-11-2017, 23:49 door Anoniem
Door Anoniem: Ik heb het zo juist geinstalleerd inderdaad,wel vlot dat ze dat meteen na de melding van die onderzoeker dit lek hebben verholpen,meestal gaat er weken over heen tot een volgende patch cyclus naar Mac OS High sierra 10.13.2 of zo.

het is al op 13 november gemeld!
30-11-2017, 07:53 door linuxpro
Zo, da's lekker rap. Daar kunnen een hele hoop andere softwarehuizen een voorbeeld aan nemen.
30-11-2017, 08:10 door Anoniem
Door linuxpro: Zo, da's lekker rap. Daar kunnen een hele hoop andere softwarehuizen een voorbeeld aan nemen.

Nou komen lekken van deze omvang gelukkig niet vaak voor maar andere leveranciers zouden met een dergelijk lek ook snel reageren.
30-11-2017, 08:48 door Anoniem
Repair file sharing after Security Update 2017-001 for macOS High Sierra 10.13.1

If file sharing doesn’t work after you install Security Update 2017-001, follow these steps.


If you experience issues with authenticating or connecting to file shares on your Mac after you install Security Update 2017-001 for macOS High Sierra 10.13.1, follow these steps to repair file sharing:

Open the Terminal app, which is in the Utilities folder of your Applications folder.
Type sudo /usr/libexec/configureLocalKDC and press Return.
Enter your administrator password and press Return.
Quit the Terminal app.
30-11-2017, 08:52 door -karma4
Door linuxpro: Zo, da's lekker rap. Daar kunnen een hele hoop andere softwarehuizen een voorbeeld aan nemen.

Is voor Linux (in ieder geval Debian) ook normaal hoor.
30-11-2017, 08:59 door Anoniem
Door Anoniem: Het is snel gefixt dus zo moeilijk was het niet, de vraag is niet hoe dit kon gebeuren maar waarom het gebeurd nadat Steve Jobs er niet meer is.

Die is er al een hele tijd niet meer hoor...
30-11-2017, 09:22 door Anoniem
Door Anoniem:
Door linuxpro: Zo, da's lekker rap. Daar kunnen een hele hoop andere softwarehuizen een voorbeeld aan nemen.

Nou komen lekken van deze omvang gelukkig niet vaak voor maar andere leveranciers zouden met een dergelijk lek ook snel reageren.

Als het lek dan maar vlak voor de tweede dinsdag van de maand gevonden wordt bij een bepaald OS ;-)
30-11-2017, 09:25 door Anoniem
Door Anoniem:
Door Anoniem: Het is snel gefixt dus zo moeilijk was het niet, de vraag is niet hoe dit kon gebeuren maar waarom het gebeurd nadat Steve Jobs er niet meer is.

Die is er al een hele tijd niet meer hoor...

Volgens mij heeft dat allemaal niet zoveel met Steve Jobs te maken. Hij was meer van de ideeën / vernieuwingen en wat dat betreft zie je wel dat Apple al jaren weinig nieuws meer brengt in verhouding met het Jobs tijdperk.

Verder blijft het overall een prima software leverancier net als de meeste Linux distro's. Alleen Microsoft levert rotzooi.
30-11-2017, 12:06 door Anoniem
Deze bug is dus één van de redenen dat niet iedereen deze versie van OSX direct heeft geïnstalleerd. De markt is conservatief. En zal dat altijd ook wel blijven.

Upgraden is dan ook geen doel op zich. Vaak voegt de upgrade functioneel helemaal niets toe voor de gebruiker van een systeem.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.