Op vele sites gemeld en beschreven, waaronder:
https://www.macobserver.com/tips/quick-tip/macos-high-sierra-severe-root-vulnerability-fix/

https://www.theregister.co.uk/2017/11/28/root_access_bypass_macos_high_sierra/

https://www.macrumors.com/2017/11/28/macos-high-sierra-bug-admin-access/

http://appleinsider.com/articles/17/11/28/major-vulnerability-in-apples-macos-provides-system-administrator-access-with-few-instructions

https://techcrunch.com/2017/11/28/astonishing-os-x-bug-lets-anyone-log-into-a-high-sierra-machine/

(Bewerkt door rt om 23:13, 28-11-2017)

I fully support @Apple suing you for this. Learn how to disclose security bugs before you call yourself a "Software Craftsman".

De volgende gaat op de zwarte markt.

En aan de andere kant: het is misschien ook wel goed dat Apple op deze manier publiekelijk voor (weggefilterd) wordt gezet. Twee van dit soort enorm slordige fouten in korte tijd (laatst ook met de Disk Utility password/hint bug) zorgt er hopelijk voor dat ze de kwaliteit van de software beter gaan testen voor release. Want die werd er de laatste tijd al niet beter op.

(Bewerkt door Backspin om 23:32, 28-11-2017)

Backspin om 23:27, 28-11-2017
Is ook wel een beetje dom van die gast. Als hij hiermee naar Apple was gestapt, had hij wellicht leuk kunnen cashen dmv apple's bug bounty program.

't is een gewone coder, die geen weet heeft van sec procedures. En overschat die bounties niet. Recent is nog iemand die zich inschreef bij een populaire drone maker, bedreigd ipv betaald.

En aan de andere kant: het is misschien ook wel goed dat Apple op deze manier publiekelijk voor (weggefilterd) wordt gezet. Twee van dit soort enorm slordige fouten in korte tijd (laatst ook met de Disk Utility password/hint bug) zorgt er hopelijk voor dat ze de kwaliteit van de software beter gaan testen voor release. Want die werd er de laatste tijd al niet beter op.

(Bewerkt door Backspin om 23:32, 28-11-2017)

Derflounder to the rescue:

https://derflounder.wordpress.com/2017/11/28/blocking-logins-to-the-root-account-on-macos-high-sierra/

Sec channels staan op barsten...

https://forums.developer.apple.com/thread/79235

Erger, er was al een week een radr voor.

Mogelijk gerelateerd aan dit:

http://seclists.org/oss-sec/2017/q4/61

(Bewerkt door cyrano om 6:13, 29-11-2017)

The upshot of all of this: as long as someone has filevault turned on, their files are most likely safe from this exploit as long as their Mac is turned off before an attacker gets hold of it. Locking a screen with a password also appeared to protect a computer while it's unattended.*

https://www.volkskrant.nl/economie/groot-lek-in-apple-s-besturingssysteem-is-van-alarmerende-simpelheid~a4542172/

Hier eentje voor je:
Update: An Apple spokesperson told MacRumors that a fix is in the works:
"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section."

je moet dus wèl een wachtwoord instellen, maar daarna root niet uitschakelen.

je kunt ook èn gastgebruiker, èn root uitschakelen, èn geen andere gebruiker aanmaken.
want dan krijg je niet de keuze om een andere gebruiker te kiezen op het inlogscherm.

maar het is wel een gat, zo groot als morgen de gehele dag

Backspin om 23:27, 28-11-2017
Is ook wel een beetje dom van die gast. Als hij hiermee naar Apple was gestapt, had hij wellicht leuk kunnen cashen dmv apple's bug bounty program.

En aan de andere kant: het is misschien ook wel goed dat Apple op deze manier publiekelijk voor (weggefilterd) wordt gezet. Twee van dit soort enorm slordige fouten in korte tijd (laatst ook met de Disk Utility password/hint bug) zorgt er hopelijk voor dat ze de kwaliteit van de software beter gaan testen voor release. Want die werd er de laatste tijd al niet beter op.

(Bewerkt door Backspin om 23:32, 28-11-2017)

Alsof de test-specialisten dit is aan te rekenen gaat ons niets aan. Misschien door het agile team (scrum/devops/xp) een achteraf onjuiste inschatting gemaakt, of test specialisten/security testers overruled? Software wordt complexer en niet alles zal (zeer) zwaar getest worden.... wie weet verzaakt een developer om unit tests te schrijven...