Een kleine twee weken nadat macOS 10.13 High Sierra uit is gekomen heeft Apple de eerste update in de Mac App Store voor ons klaar staan. Doordat deze update geen versienummer heeft mee gekregen, en Apple het een "Supplemental Update" noemt, lijkt deze update niet zo belangrijk. Maar dat is wel degelijk het geval.

Want deze update zorgt er onder andere voor dat een erg vervelende bug in Schijfhulpprogramma (Disk Utility) in High Sierra opgelost wordt. In de video hieronder kan je zien waar het om gaat: Disk Utility laat bij een versleutelde APFS disk niet de hint voor het wachtwoord zien, maar het wachtwoord zelf!



Deze hack werd ontdekt door Matheus Mariano, een ontwikkelaar uit Brazilië. Dat is ook meteen de reden dat de Mac die we hierboven zien in het Portugees staat. Maar iedereen die het Schijfhulpprogramma kent zal de stappen die we daar zien ook meteen thuis kunnen brengen. Maakt het Portugees het lastig om te zien wat er gebeurt, in deze tweet zie je een demo van hetzelfde probleem, maar dan op een Mac die in het Engels staat.

Let op, mogelijk is het installeren van deze Supplemental Update alleen niet voldoende. Apple geeft in dit support-document precies aan waar je op moet letten en wat er mogelijk moet gebeuren. Dat kan betekenen dat je een back-up van je data moet maken, jouw schijf formatteren, opnieuw voor de versleutelde versie van APFS kiezen en je data daarna weer terugzetten.

Hack voor Sleutelhangertoegang ook gecorrigeerd

Het is niet alleen deze bug in Schijfhulpprogramma die gecorrigeerd is in deze Supplemental Update. Ook de recent naar buiten gekomen hack waarmee je wachtwoorden in Sleutelhangertoegang (Keychain Access) kon halen wordt door deze update gecorrigeerd.

Meer over die hack is te vinden in dit eerdere nieuwsbericht, in de video hieronder kan je zien hoe die in zijn werk ging.



Verder in deze update

Dit is nog niet alles, deze update zorgt er ook voor dat de Installer-app beter zal werken, lost een probleem waardoor boodschappen van Yahoo-accounts in Mail niet meer verwijderd konden worden en wordt er ook een probleem met Adobe InDesign opgelost.

Hoe je deze update installeert

Een update voor macOS installeer je door te klikken op het Apple-icoontje helemaal linksboven op je scherm. In het menu wat dan opent kies je voor App Store..., en in het venster dat dan opent kies je rechtsboven voor Updates. Als je High Sierra op je Mac hebt staan, dan zou deze Supplemental Update daar vanzelf moeten verschijnen.

Mocht dat niet het geval zijn, deze update is ook naar binnen te halen via deze pagina.



met dank aan forumlid 'VwVanFan', die als eerste de wachtwoord-hint bug op ons forum meldde

Miljaaaar, zeggen we dan in Zuid- Brabant.

Gelukkig heb ik nog geen High Sierra!

APFS lijkt een redelijke f*ckup. ZFS was weer te duur aan royalties zeker?

Should have been: https://www.imore.com/apple-zfs-speculation-ios

Een patch wordt getest/is beschikbaar. Hangt af van wanneer je dit leest. En 't is blijkbaar een echte noodpatch, gezien dit commentaar:

"Someone correct me if im wrong but, Apple’s way of fixing the password hint issue is by removing the “show hint” button??"

Het begint ernaar uit te zien dat de hele HS release OGF gaat...

Patch here:

https://support.apple.com/kb/DL1937?locale=nl_NL

En nog een leuke voor erbij:

"If you use a Proxy PAC file or Automatic Proxy Discovery in your organization, High Sierra's softwareupdated has a bug that prevents software updates. A temporary workaround we're using is to manually set Web Proxy and Secure Web Proxy.

Apple is aware of the bug and is working on a solution. Any of you impacted by this please submit a bug report and if you have AppleCare OS Support, submit an AppleCare OS Support ticket."

Putting pressure on the kettle...

En voor wie liever het origineel leest:

https://medium.com/@matheusmariano/new-macos-high-sierra-vulnerability-exposes-the-password-of-an-encrypted-apfs-container-b4f2f5326e79

Dit is trouwens weer een "gaping discrepancy" tussen CLI en gui, net als de Keychain issue.

"Sounds like this High Sierra issue is specifically a problem with Disk Utility. Apparently, if you create the encrypted volume using diskutil, it doesn't have the same problem."

Disk Utility = gui
diskutil = CLI

Apple kent z'n eigen gui niet, blijkbaar.

En als je even de reacties van de fanbois leest, weet je meteen dat ze niet eens de moeite nemen Apple's instructies te lezen.

Voorbeeld:

"Desalniettemin is het nog steeds verstandig om je wachtwoord te veranderen nadat je de fix hebt gedraaid."


Nee, damned, je moet het hele encrypted volume opnieuw aanmaken. Met een nieuw paswoord, dus. En dit komt dan nog van iemand die de indruk geeft er iets van te snappen. Nou ja, voor de koffie ben ik ook niet wakker, zeker

Maar de allereerste reactie geeft de toon aan: "--De update-- was trouwens reeds beschikbaar voordat het artikel gepubliceerd was. Wel een zeer kwalijke bug, goed dat Apple zeer snel gereageerd heeft".

Hey you, er is nog een wereld buiten tweakers, hoor. De write-up is van 27 september, de patch van 6 oktober. De melding aan Apple zelf dateert natuurlijk nog voor 27/9. De CVE is gereserveerd op 17/3.

Zeker meer dan een week. Mogelijk maanden...

Snel?

HEXDIY om 10:35, 06-10-2017
Miljaaaar, zeggen we dan in Zuid- Brabant.

Gelukkig heb ik nog geen High Sierra!

APFS lijkt een redelijke f*ckup. ZFS was weer te duur aan royalties zeker?

 Should have been: https://www.imore.com/apple-zfs-speculation-ios

Zfs is van Oracle. Het is open source. Geen royalties, denk ik?

Maar Oracle heeft enkele maanden geleden z'n open source ingeperkt. Tientallen ontslagen van devs etc. Solaris officieel dood verklaard etc. Solaris was de thuishaven van zfs...

Dat maakte de toekomst van zfs onzeker. De linux/Open source gemeenschap kan daar mee leven, maar Apple wordt daar op z'n minst zenuwachtig van.

Dit is geen doodsteek voor APFS. Iedereen wil APFS wel. Het is alleen een teken dat Apple OSX aan 't verwaarlozen is. Oh, ja, het heet nu terug mac OS. Hoe groot is de adaptatie daarvan?

Vreemd, toch. Meer dan 90% van het target upgrade naar de laatste versie binnen de maand, maar in ons hoofd blijft het "OSX".

Dit is geen bug in APFS, maar in Disk Utility. Staat dus los van APFS zelf.
Maar het team dat sinds 10.11 bezig is met de ontwikkeling van Disk Utility mogen ze wat mij betreft de laan uit sturen. De oude Disk Utility was niet perfect qua interface en functionaliteit, maar het is er alleen maar slechter op geworden.

Verder doet de patch wel iets slims: deze probeert met de waarde in het 'hint' veld de schijf te ontsleutelen. Als dat lukt, weet de patch dat het wachtwoord dus in de hint stond, en dat er actie ondernomen moet worden.

En ik denk dat het backuppen en opnieuw aanmaken van je APFS volume technisch niet nodig is, maar dat Apple dit adviseert om zich in te dekken. Zij kunnen namelijk niet garanderen dat niemand in de periode tussen het het aanmaken van je APFS volume en het verschijnen van de patch stiekem je hint (dus je wachtwoord) heeft gelezen.

Ik dacht 2 dingen, of het is 1 april of ik zit op een microsoft forum, toen ik dit las.

"Let op, mogelijk is het installeren van deze Supplemental Update alleen niet voldoende. Apple geeft in dit support-document precies aan waar je op moet letten en wat er mogelijk moet gebeuren. Dat kan betekenen dat je een back-up van je data moet maken, jouw schijf formatteren, opnieuw voor de versleutelde versie van APFS kiezen en je data daarna weer terugzetten" .

Met  H.S.  kan ik geen bestanden meer kwijt die groter zijn dan  2.5? gig, op mijn externe LaCie, terwijl dit voor H.S. 4 gig was, rara.

@ mayo: wat voor bestanden heb jij, dat ze groter zijn dan 2,5 GB?

En ik zou graag willen weten of dit probleem er niet is als je die schijf aan een Mac hangt met een oudere systeem, en dus geen APFS.

Verder lijken een paar kinderziektes me onvermijdelijk, het is nooit anders geweest.

Duurde wel even voordat het geïnstalleerd was. Vreemd overigens dat er geen update nummer aan hangt.
Nog vreemder: het nieuwe formaat HEVC, waarmee iPhones en iPads video's opslaan sinds  iOS 10.11,  is (nog) niet compatibel met Final Cut Pro. Werken lekker samen daar in Cupertino.

Verdeel en heers. Dat is de boodschap...

De patch bevat eigenlijk twee patchen.

Eén voor de hier besproken bug en één voor de maanden geleden gemelde bug in Keychain.

In geen van beide gevallen weten we wat er precies gepatcht wordt.

Bovendien vergeet zo iedereen de belangrijkste vraag. De eerste bug is alleen relevant voor High Sierra. De tweede is relevant voor alle oudere OSX versies, naast natuurlijk voor High Sierre.

Alleen High Sierra wordt gepatcht, lijkt het?

Besides, geen tijd om het roddelcircuit door te nemen. Er is ergere storm op Komst. TC lijkt in bed te zitten met de ex-ceo van Uber.

De propaganda machine loopt nog altijd even goed. Maar de leugens blijven komen...

Bron:

APPLE-SA-2017-10-05-1 macOS High Sierra 10.13 Supplemental Update

macOS High Sierra 10.13 Supplemental Update is now available
and addresses the following:

StorageKit
Available for: macOS High Sierra 10.13
Impact: A local attacker may gain access to an encrypted APFS volume
Description: If a hint was set in Disk Utility when creating an APFS
encrypted volume, the password was stored as the hint. This was
addressed by clearing hint storage if the hint was the password, and
by improving the logic for storing hints.
CVE-2017-7149: Matheus Mariano of Leet Tech

Security
Available for: macOS High Sierra 10.13
Impact: A malicious application can extract keychain passwords
Description: A method existed for applications to bypass the
keychain access prompt with a synthetic click. This was addressed by
requiring the user password when prompting for keychain access.
CVE-2017-7150: Patrick Wardle of Synack

Merk ook op hoe de tweede bug zeer voorzichtig omschreven is. Ze willen geen slapende schapen wakker maken...

mayo om 14:15, 6-10-2017
Ik dacht 2 dingen, of het is 1 april of ik zit op een microsoft forum, toen ik dit las.

"Let op, mogelijk is het installeren van deze Supplemental Update alleen niet voldoende. Apple geeft in dit support-document precies aan waar je op moet letten en wat er mogelijk moet gebeuren. Dat kan betekenen dat je een back-up van je data moet maken, jouw schijf formatteren, opnieuw voor de versleutelde versie van APFS kiezen en je data daarna weer terugzetten" .

Met  H.S.  kan ik geen bestanden meer kwijt die groter zijn dan  2.5? gig, op mijn externe LaCie, terwijl dit voor H.S. 4 gig was, rara.

Laat het me even samenvatten in militaire taal:

Vernietig al je encrypted schijven. Begin opnieuw en hoop dat de backup werkt.

Complete fail, of course.

Je backup is toch ook een encrypted partitie, mag ik hopen? Anders heeft het niet veel zin.

Maar ja, je kan 't als militair altijd op Kaspersky steken, zeker  

Hallo anraadts (en anderen)

de bestanden zijn films, voorheen geen probleem op deze externe lacie.

heb hier geen ouder systeem dus dat kan ik niet testen.

grt

m

Lijkt wel steeds vaker geklo** met nieuwe os’en en wat al niet.
Het valt ook niet mee hoor, al die ballen in de lucht houden

Watch, Phone/Ipad, Mac, Atv, Applepay, Applemusic, uitzoeken waar je het minste belasting betaalt, toeleveraars die het niet aankunnen, te optimistische release aankondigingen.

En wat is dat met TC in bed met die ueberhork ?
Liggen daar de problemen?    

Dat van TC zal nu wel overal te lezen zijn. Kort samengevat: TC persoonlijk heeft Uber dingen laten doen die ten strengste verboten zijn in Apple's boekje. En de ceo van Uber ging, zoals gewoonlijk, nog verder dan dat TC toegelaten had. Daar is TC echt boos om geworden.

Een "normale" app dev had die toestemming niet. Als hij 't toch probeerde, werd het meteen aanzien als "inbreken in Apple's privacy model". De account wordt dan meteen afgezet en de app verdwijnt uit de appstore.

De kern is: Apple had die demo app van Uber nodig voor de release van de Apple Watch. Anders hadden ze niks te tonen. En dan mag het wel, blijkbaar.

Alles gaat naar iOS. Je kan niet de helft van de devs van OSX weghalen om iOS te gaan doen, zonder risico's te nemen. En die risico's bijten nu in TC's achterwerk...

En dan vergelijk ik dat met het hernoemen van OSX naar mac OS. Dat is ook geen groot succes...

Thanks