root access utan lösenord [high sierra]

Det har släppts en uppdatering som täpper till! Så bara att se till att man har den installerad

Hur tror du deras QA är utformad om det inte fanns historik av dylika ting?

"Nu provar vi att / nu låter vi detta skript trycka på "radera" som dock är utgråad allra minst 7 gånger för att vara helt säker på att detta element inte är bara synligen inaktiverat." "Nu provar vi att trycka snabbt med höger musknapp femton pixlar från klockan för att vara helt säker på att inte bakgrundsbilden ändras". "Nu provar vi att trycka nintendosnabbt på strömknappen 99 gånger för att se till att det inte bildas en singularitet i närheten av nätaggregatet"

Dom borde ha testfall för dom mest kritiska systemen

Absolut, men det här ter sig som ett undantagsfall. Klicka en gång för att autentisera som root utan lösen och det går == begripligt att ha med eftersom root är känslig och ska behöva aktiveras först. Klicka fler gånger ..där blir det lite otroligt. Som att inte tro att "radera" i Skivverktyg är utgråat när det verkligen är utgråat - det har aldrig gällt någon utgråad knapp så varför denna nu? Sannerligen trist i det här fallet men Apple har reagerat snabbt vilket är vad de rimligen kunnat göra i mina ögon.

Såvida de faktiskt inte har tester för tämligen extrema edge scenarios som dessa och bara fell asleep at the wheel här. Tvivlar på det dock.

Edit. Provade just på El Capitan (sista OS:et som gammal iMac från 2008 stödjer) och där inträffar inte felet.

Kan delvis hålla med om att det är ett edge-fall.
Men anledningen till denna bugg är ju att man förändrat hash-algoritmen för lösenord. I samband med detta har man gjort en mekanism som uppgraderar hashen ifall den stöter på den gamla hashen.

I hanteringen av root, som var disablad så fanns ingen hash. Men pågrund av den nya hanteringen med uppgradering av hashen jämför den den gamla hashen som var tom, med det det inmatade som också var tom.
Så när du kom med en tom sträng så matchade den förhållandet i uppgraderingen av den gamla hashen, och satt den nya hashen till en hash som skapas från en sträng som är tom.
Därefter har du då ett lösenord som inte innehåller några tecken på root-kontot.

Just pågrund av att de ändrat denna rutin så är det självklart att de ska bygga nya automatiska testfall för detta.
Felet ligger alltså på personen/teamet som fått i uppgift att bygga hanteringen av uppgradering av hashen. De har inte kartlagt beroenden och inte gjort testfall.

Det är svårt att veta just hur deras rutiner gällande ändringar i mjukvara -> nya / ändrade testfall ser ut men viss koppling kan jag hålla med om borde finnas. Som inte fanns eller fallerade här isf.

Se till bara reboota eran Mac efter uppdatering.
https://9to5mac.com/2017/12/02/macos-10-13-1-root-hole-bug/