Instellingen High Sierra App Store via willekeurig wachtwoord te wijzigen
De instellingen van de App Store op macOS High Sierra zijn door een bug via een willekeurig wachtwoord te veranderen, zo blijkt uit een bugmelding op de website Open Radar. Bij het aanpassen van systeeminstellingen vraagt macOS om het beheerderswachtwoord. Nu blijkt dat bij de meest recente versie van macOS High Sierra er een willekeurig wachtwoord kan worden opgegeven.
Vervolgens kunnen er verschillende instellingen worden aangepast, zoals het automatisch controleren op updates, het automatisch downloaden van apps die op andere Mac-computers zijn aangeschaft en het vereisen van een wachtwoord bij aankopen in de App Store. De impact van de bug is echter beperkt. Om er gebruik van te maken moet een aanvaller al toegang tot een ontgrendelde Mac hebben waar met een lokaal beheerdersaccount op is ingelogd.
De bug doet zich alleen voor bij een lokaal beheerdersaccount. Wanneer het wordt geprobeerd bij een standaard gebruikersaccount wordt het willekeurige wachtwoord niet geaccepteerd. MacRumors laat weten dat de bug zich niet voordoet bij macOS Sierra versie 10.12.6 of eerder. Het probleem zou inmiddels in de betaversie van macOS 10.13.3 zijn verholpen. In de tussentijd krijgen gebruikers het advies om hun computer te vergrendelen als ze die onbeheerd achterlaten of een standaard gebruikersaccount te gebruiken. Onlangs kwam Apple ook al in het nieuws vanwege een andere wachtwoordbug.
Gelukkig gebruik ik mijn beheerders account hooguit 1 of twee keer per jaar.
Als ik rondkijk werken de meeste mac gebruikers wel vaak altijd onder hun beheerders account. Het gemakkelijkst om van de beheerders rechten van je normale account af te komen is om een nieuw account aan te maken met beheerders rechten.
Vervolgens daarmee in te loggen en de beheerders rechten van het reguliere account weg te nemen.
Met een user account kun je eigenlijk alles doen wat een beheerder ook doet. Er zal alleen vaker om een beheerderswachtwoord gevraagd worden. Alleen een "sudo" commando lukt niet vanuit een user account.
Lokaal?
Wadisdaa een 'lokaal' beheerdersaccount?
Je kan nog een Root hebben geactiveerd of heel misschien nog wel op afspraak iets remoots, maar een lokaal beheerdersaccount?
Bel blijft geo-lokaal stil alhier.
Tweakers meldde nog een ander bugje erbij, voor iOS.
Serverbugje dat het toeliet je iOS versie weer te downgraden.
Maar die is per omgaande gefixt.
Totaal.
Daarnaast kan je dat nog verder limiteren;
Zoek maar op, 1 vinkje maar
Of
"Require an administrator password to access system-wide preferences".
Niemand koopt hier wat voor onzin suggesties want de implicaties dat een standaard user account geen signifikante verbetering is voor je security is pertinent onwaar en daarmee kwalijk omdat je de broodnodige motivatie voor andere gebruikers onterecht wegneemt de moeite te nemen een standaard user account aan te maken!
Foei, je zou beter moeten weten en wat verantwoordelijker met je tekstbijdragen omgaan.
Dat is een onzin reactie. Ik schrijf nergens dat een user account geen verbetering is voor de veiligheid. Ik probeer juist de angst weg te nemen om een user account te gebruiken. Ik geef notabene een instructie om dat simpel voor elkaar te krijgen.
Anonieme regeerders kunnen echter vaak slecht lezen omdat ze weten dat ze toch niet afgerekend worden op hun postigs.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
