Toen eind november bekend werd dat het mogelijk was om in High Sierra om een root-wachtwoord aan te maken zonder het wachtwoord van de beheerder, was Apple er snel bij met een oplossing.

Kort daarna maakte Apple uitgebreid excuses, een unicum voor dit bedrijf, en daarbij werd duidelijk gemaakt dat het proces waarmee software nagekeken wordt verbeterd zou worden, zoals je onderaan dit nieuwsbericht kan lezen. Dat het hard nodig is dat Apple hier weer nadrukkelijk naar gaat kijken maken de bugs voor de beveiliging die tot nu toe gevonden zijn in High Sierra wel duidelijk.

Daar is nu weer een bij gekomen. Dit keer gaat het niet om een erg serieuze bug, maar het laat wel zien dat er (te) veel doorheen is geglipt.



De nieuw ontdekte bug werkt als volgt: open terwijl je ingelogd bent als beheerder in macOS High Sierra (10.13) Systeemvoorkeuren > App Store. Als het slotje daar dicht staat blijkt dat je het je het open kan maken met willekeurig welk wachtwoord.

Omdat je ingelogd moet zijn als beheerder en daar niets te vinden is wat met beveiliging te maken heeft, is dit natuurlijk geen halszaak. Maar het illustreert wel dat er aardig wat foutjes in High Sierra geslopen zijn op het gebied van de beveiliging, dat zijn we tot nu toe niet van Apple gewend.

Hieronder het excuus dat Apple eerder naar buiten bracht, wat alleen maar in belangrijker lijkt te worden.

Security is a top priority for every Apple product, and regrettably we stumbled with this release of macOS.

When our security engineers became aware of the issue Tuesday afternoon, we immediately began working on an update that closes the security hole. This morning, as of 8:00 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.

We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.

met dank aan forumlid 'Spooter', die dit nieuws als eerste meldde op ons forum

wordt tijd voor een betere controle voor dat de boel online wordt gezet.

Of is het net als bij Volvo, die controleren de autos ook niet meer als ze van de lopende band komen, mocht er een defecte tussen zitten is het goedkoper om dat op te lossen dan iedere auto proef te laten draaien.

Nu doen we het werk voor apple, de client geeft aan wat er fout is wij lossen het op, sorry.
Mocht er een schade claim komen is dat toch goedkoper, zie batterijen gate.

Je bent al admin, dus de impact is klein.

Maar je kan eender welke gebruikersnaam ingeven. Dat is wel verontrustend. Apple toont een auth dialoog box, maar doet er niks mee. Op hoeveel andere plaatsen is dit ook zo?

Tel daarbij dat de performance van APFS flut genoemd mag worden, een reeks andere goofs en je mag gaan stellen dat High Sierra Apple's Vista is.

Goh...

De eerste is al meteen prijs:

https://openradar.appspot.com/radar?id=5009271813046272

Als je in de Terminal een secure key wil overschrijven, vraagt OSX natuurlijk om je paswoord.

Als je je vergist van paswoord, wordt de nieuwe key niet gekopieerd, natuurlijk. Maar de oude wordt wel gewist...

En ik ben deze bug ook al tegengekomen bij FTP . Je hebt niet de rechten om iets te overschrijven, dat gebeurt ook niet, maar de bestanden die je ging overschrijven, worden gewist. Het gevolg is paniek, want je config files zijn weg en de hele OSX server crasht.

Dan blijkt ook nog dat die config files NIET in de TM backup zitten. Gevolg: de database van 20 jaar is naar de haaien. Mogelijk zes maanden research werk van 30 personeelsleden en enkele honderden vrijwilligers weg. Dit heeft perfect gewerkt van Mac OS 7 tot OSX Snow Leopard. De beslissing is al gevallen: OSX gaat er uit en wordt vervangen door BSD. We kunnen niet anders...


(Bewerkt door cyrano om 22:15, 11-01-2018)