Apple bekräftar säkerhetshål i Mac OS

Permalänk
Melding Plague

Apple bekräftar säkerhetshål i Mac OS

Ett nyligen upptäckt säkerhetshål i Apples Mac OS High Sierra gör det möjligt att logga in som administratör utan lösenord. Apple bekräftar nu att de arbetar på att åtgärda detta.

Läs hela artikeln här

Visa signatur

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa kan leda till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Permalänk
Tangentbordskonnässör

Haha, detta måste ju vara årets miss.

Glömt ditt lösenord? Har du snott en dator och vill komma in i den? Logga in som root utan pw så släpper vi in dig, inga problem kompis! -Apple Inc (c) 2017

Permalänk
Medlem

"It just works" Even if it is not yours

Visa signatur

Speldator: Ryzen 5800x3d | Asus B550m TUF Gaming Wi-Fi | G.Skill TridentZ Neo 2x16GB 3600MHz CL16 (hynix djr) | In Win 301 | Scythe Fuma 2 I Asus RTX 3070 Dual OC | Seasonic GX750 | Lots of unicorn vomit Laptop: Thinkpad E14 G2 4700U Kringutrustning: Cooler master Quickfire TK MX-Brown | Sennheiser HD598cs | Sony WH1000XM3 | Logitech G900 | ASUS PB278QR | Rift CV1 | Audio Pro Addon T14

Permalänk
Medlem

Gillar att en nämnde i en tråd på Apples forum för 2 veckor sedan att man kan logga in som root helt casual.

https://forums.developer.apple.com/thread/79235

Länk till bild med kommentaren:
https://i.imgur.com/S635XNs.png

Visa signatur

3900X | 2080 TI | 64GB RAM | 1TB NVME Pcie4 | C49RG90

Permalänk
Medlem

Man blir ju lite orolig här. En liten miss någonstans ska ändå inte kunna ge root access så enkelt...

Permalänk

Haha det kan inte stämma?! Inga program, uppgifter, eller tidigare hackerkunskaper krävs, bara fysisk access till enheten och så spamma inloggningsknappen? Det är ju helt ofantligt makalöst. Hur, undrar man?

Visa signatur
Permalänk
Medlem
Skrivet av Marsupilami:

Haha det kan inte stämma?! Inga program, uppgifter, eller tidigare hackerkunskaper krävs, bara fysisk access till enheten och så spamma inloggningsknappen? Det är ju helt ofantligt makalöst. Hur, undrar man?

It just works.

....

Edit: Missade inlägget ovan...

Skrivet av infigo:

"It just works" Even if it is not yours

Permalänk
99:e percentilen
Skrivet av Gropenator:

It just works.

Har aldrig varit mer sant.

Visa signatur

Skrivet med hjälp av Better SweClockers

Permalänk
Medlem

Vissa menar att det endast går att logga in som root utan pass för att ändra inställningar i System Preferences, och inte vid inloggsskärmen. Lyckades själv inte att logga in på frugans MBP som har High Sierra med root och tomt lösen på inloggsskärmen.

Visa signatur

WS: AMD Ryzen 3700X | 16GB Corsair LPX 3733 | MSI RX 6800 | Samsung PM981a 1TB | Louqe Ghost S1
Laptop: ASUS UX32LN | i7-4510U | 12GB DDR3 | 13.3" FHD | 256GB SSD
Server: Intel Xeon E5-2660 | 32GB DDR3 | UnRaid

Permalänk
Medlem
Skrivet av pellen:

Vissa menar att det endast går att logga in som root utan pass för att ändra inställningar i System Preferences, och inte vid inloggsskärmen. Lyckades själv inte att logga in på frugans MBP som har High Sierra med root och tomt lösen på inloggsskärmen.

Jag lyckades inte först, men sen skrev jag ROOT o tabbade å skitnsnabbt tryckte enter, då gick de helt plötsligt.

Gick alltså att logga in med rootkontot direkt i inloggningsrutan

Visa signatur

9900k | Z390 AORUS MASTER | 32GB RAM | AORUS GeForce RTX 2080 SUPER WATERFORCE 8G | XFX Black 1250W | BeQuiet Pure Base 500 | Fractal Design Celsius S36 | Samsung 970 500GB + Corsair MP510 960GB | Dell U3415W | Windows 11 Professional

Permalänk
Medlem

Skrattade gott i morse åt detta också. Men shit happens.

Det som jag reagerade på är när jag försökte hjälpa en kollega att tipsa hur man säkrar sig mot detta, istället vänder med kommentaren att.. "tja... allt är osäkert idag. Inte lönt."

Hoppas det finns Apple användare som är mer... förståndiga. För detta är ett gigantiskt hål, och det är rätt enkelt att skydda sig genom att sätta ett lösenord på root. Men det bör också göras.

Permalänk
Inaktiv

Det finns säkerhetshål överallt, dessa av olika grader. Men att det har tagit så lång tid innan dessa miljontals användare inte upptäcker att man behöver skriva in ett lösenord för rootkontot, ger mig lite antydan om vad det är för användare.

Sedan visst man bör inte använda rootkontot 500 gånger om dagen som jag gör i Debian genom sudo, men orka skaffa andra konton för varenda maskin.

Undra hur många år det skulle ta på windows server innan någon upptäckte att man kunde logga in på administratorkontot utan lösenord?

Permalänk
Medlem

Från sidan som länkas i artikeln:

"The user account named ”root” is a superuser with read and write privileges to more areas of the system, including files in other macOS user accounts. The root user is disabled by default. If you can log in to your Mac with an administrator account, you can enable the root user, then log in as the root user to complete your task."

Med andra ord berör detta ganska få. Men det är ju fortfarande ett problem.

Visa signatur

Stationär: Ryzen 5 3600 | Asus GTX 980
Bärbar: Razer Blade 15 Advanced 2020 | 4K OLED | RTX 2080 Super

Permalänk
Medlem
Skrivet av anon159643:

Det finns säkerhetshål överallt, dessa av olika grader. Men att det har tagit så lång tid innan dessa miljontals användare inte upptäcker att man behöver skriva in ett lösenord för rootkontot, ger mig lite antydan om vad det är för användare.

Sedan visst man bör inte använda rootkontot 500 gånger om dagen som jag gör i Debian genom sudo, men orka skaffa andra konton för varenda maskin.

Undra hur många år det skulle ta på windows server innan någon upptäckte att man kunde logga in på administratorkontot utan lösenord?

Ja fast oavsett vad det är för "typ" av användare så förutsätter man ju nästan att detta är verifierat och inte ska gå, eller menar du att det första du gör som övermäktig Linux-användare är att försöka logga in som root utan lösenord på fantasifulla sätt?

Visa signatur

- R5 5600X | 32GB RAM | GTX 1080 | ASUS ROG STRIX B550-I | NZXT H1 -

Permalänk
Inaktiv

@H4tten: Det stämmer inte. Det fungerar utmärkt utan att ha enablat rootkontot. Själva buggen är att rootkontot blir enabled tillfälligt men standard är att rootkontot är disablat med tomt lösenord.

Permalänk
Inaktiv
Skrivet av Schluug:

Ja fast oavsett vad det är för "typ" av användare så förutsätter man ju nästan att detta är verifierat och inte ska gå, eller menar du att det första du gör som övermäktig Linux-användare är att försöka logga in som root utan lösenord på fantasifulla sätt?

Eftersom man använder högsta behörighetskontot ofta vare sig man pratar windows, linux, databaser etc. Så blir det ett antal tusen inloggningar per år som man gör själv. När man gör dessa tusentals inloggningar så gör man rätt så många fel, man trycker enter innan man har skrivit in lösenordet etc.

Så om samma fel hade funnits i windows server så trots andelen användare är en bråkdel, så hade vi upptäckt ett sådant fel snabbt.
Samma sak gäller förövrigt sql server, inget password fungerae på sa användaren upptäcks snabbt

Skickades från m.sweclockers.com

Permalänk
Avstängd

Det är inte det enda säkerhetshålet i apple produkter. Deras iphones har lika stora problem.

Skickades från m.sweclockers.com

Visa signatur

New: Asus x370 prime pro, Ryzen 1700 (@3.925ghz) , Ripjaws V 16GB 3600 MHz (@3200mhz 14c). https://valid.x86.fr/curj7r
Radeon VII.

Permalänk
Medlem

Smart att publicera säkerhetshålet helt öppet på Twitter.

Visa signatur

Intel i5 12600K | Asus TUF Gaming Z690-Plus D4 | Asus Geforce RTX 3060 Ti | 32 GB DDR4 | Fractal Design North | Corsair iCue Link H100i | Cooler Master V750 Gold i Multi

Permalänk
Medlem

Behövde bara starta om min dator och byta användare, skriva root och ett enkelt enter.
Inte helt nöjd

Permalänk
Medlem

"Security by obscurity"

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem
Skrivet av Gender Bender:

Smart att publicera säkerhetshålet helt öppet på Twitter.

Nu kan ju användare åtminstone göra någonting åt problemet, när de känner till läget, istället för att dem som listat ut det skall kunna leka runt ostört.
Så att folk känner till hålet i detta fallet måste ju vara det bättre scenariot.

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem

Otroligt säkerhetstänk på Apple..
Logga in som root utan lösenord så är det bara att köra på

Visa signatur

Ryzen 7 3800X, Asus Prime X370 Pro, 32 GB LPX 3600, Gainward RTX 3060 Ti Ghost, 7 TB SSD + 4 TB HDD

Permalänk
Medlem
Skrivet av H4tten:

Från sidan som länkas i artikeln:

"The user account named ”root” is a superuser with read and write privileges to more areas of the system, including files in other macOS user accounts. The root user is disabled by default. If you can log in to your Mac with an administrator account, you can enable the root user, then log in as the root user to complete your task."

Med andra ord berör detta ganska få. Men det är ju fortfarande ett problem.

Av vad jag läst mig till berör det Alla med senaste OS High Sierra.
Den kursiva texten du citerar verkar ju beskriva scenariot när implementationen är rätt, vilket den inte verkar vara i nuläget.
root-kontot skall som utgångpunkt vara deaktiverat, vilket det säkert ser ut att vara i GUI:t, så att du själv måste aktivera det för att kunna logga in med det.
Av användarhistorierna man tagit del av verkar det ändå gå att logga in som root utan någon som helst ändring i GUI:t. (aktivering av root kontot)

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem
Skrivet av krigelkorren:

Nu kan ju användare åtminstone göra någonting åt problemet, när de känner till läget, istället för att dem som listat ut det skall kunna leka runt ostört.
Så att folk känner till hålet i detta fallet måste ju vara det bättre scenariot.

Allt som behövs är beskrivning på hur man pluggar igen hålet. Instruktioner på hur man utnyttjar hålet behöver bara Apple få reda på så att de vet hur de ska plugga igen det genom en uppdatering som går ut till alla som aldrig kommer att läsa om denna nyhet, vilket jag gissar på är en hel del.

Visa signatur

Intel i5 12600K | Asus TUF Gaming Z690-Plus D4 | Asus Geforce RTX 3060 Ti | 32 GB DDR4 | Fractal Design North | Corsair iCue Link H100i | Cooler Master V750 Gold i Multi

Permalänk
Medlem
Skrivet av Gender Bender:

Allt som behövs är beskrivning på hur man pluggar igen hålet. Instruktioner på hur man utnyttjar hålet behöver bara Apple få reda på så att de vet hur de ska plugga igen det genom en uppdatering som går ut till alla som aldrig kommer att läsa om denna nyhet, vilket jag gissar på är en hel del.

Nu kanske det i själva verket ligger till så att Apple inte hade en susning om denna fadäs innan det skrevs på twitter, men sådant kan man bara sia om. De som hittat buggen lär inte vara sena att utnyttja den.

Om det nu enbart är ett root-lösenord som behöver sättas så känns det väl lite overkill att Alla skall gå runt ovetandes i falsk säkerhet och att det snart kommer en patch från Apple som ingen vet om att de behöver eller hur viktig den är?

I nuläget kan man som sagt vidta åtgärder om man känner sig manad.

Fixen är ju inte så värst svår att utföra som du kan se nedan...
http://osxdaily.com/2017/11/28/macos-high-sierra-root-login-without-password-bug/

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem

Apple gör det igen alltså. Lanseringen av iOS 11 avskräckte mig från att uppgradera datorn från Sierra till High Sierra. Satan vilka problem jag hade med iOS 11, aldrig varit med om något liknande. Kommer nog vänta en månad till eller så, förhoppningsvis så har alla dessa barnsjukdomar botats tills dess.

Visa signatur

7800x3D | 7900 XTX | Custom loop | Samsung Neo G7 | Razer Deathadder Pro v3 | Razer Huntsman | Sennheiser HD 660S | Hifiman Arya Stealth | Denafrips Ares II | Drop THX AAA 789 | Macbook Pro 13" Retina för studier

Permalänk
Medlem
Skrivet av krigelkorren:

Nu kanske det i själva verket ligger till så att Apple inte hade en susning om denna fadäs innan det skrevs på twitter, men sådant kan man bara sia om. De som hittat buggen lär inte vara sena att utnyttja den.

Om det nu enbart är ett root-lösenord som behöver sättas så känns det väl lite overkill att Alla skall gå runt ovetandes i falsk säkerhet och att det snart kommer en patch från Apple som ingen vet om att de behöver eller hur viktig den är?

I nuläget kan man som sagt vidta åtgärder om man känner sig manad.

Fixen är ju inte så värst svår att utföra som du kan se nedan...
http://osxdaily.com/2017/11/28/macos-high-sierra-root-login-without-password-bug/

Grejen är den att vi användare inte behöver veta hur man utnyttjar säkerhetshålet, utan bara hur man skyddar sig. Hade de bara sagt något i stil med "Hej, Apple. Vi har hittat ett säkerhetshål som ni måste åtgärda. Hör av er. Så här kan ni användare skydda er tills vidare". Att skriva i detalj hur man får root access utan lösenord är något som bara gynnar the bad guys, inte användarna.

Visa signatur

Intel i5 12600K | Asus TUF Gaming Z690-Plus D4 | Asus Geforce RTX 3060 Ti | 32 GB DDR4 | Fractal Design North | Corsair iCue Link H100i | Cooler Master V750 Gold i Multi

Permalänk
Medlem
Skrivet av Gender Bender:

Smart att publicera säkerhetshålet helt öppet på Twitter.

Skrivet av Gender Bender:

Allt som behövs är beskrivning på hur man pluggar igen hålet. Instruktioner på hur man utnyttjar hålet behöver bara Apple få reda på så att de vet hur de ska plugga igen det genom en uppdatering som går ut till alla som aldrig kommer att läsa om denna nyhet, vilket jag gissar på är en hel del.

I ren princip sak håller jag med, och i andra artiklar på nätet (källorna till detta) visar man också att detta visades och förklarades för Apple för 2 veckor sedan. Twitter posten är från igår. Apple verkade tydligen inte bry sig nog för att ens svara på det. Så de har gjort exakt det du säger i posten ovan de "borde".

Och nu går de istället öppet med det för att ge folk en chans att säkra sina maskiner tills buggen rättats till. Mao... hade Apple svarat och tagit tag i detta direkt... hade de nog också blivit mindre publikt. Men tyvärr är detta hur man måste handskas med Apple (och andra större företag) ibland. De ignorerar det tills det landar på chefens bord, och alla då skyller på att man publicerat det...

Permalänk
Medlem

Provade detta på fyra olika maskiner i av två olika generationer, två nyinstallerade och två uppgraderade. Kan inte logga in med root... måste vara nåt mer som krävs för att det skall funka.

Permalänk
Medlem
Skrivet av anon228747:

@HatMine: Det stämmer inte. Det fungerar utmärkt utan att ha enablat rootkontot. Själva buggen är att rootkontot blir enabled tillfälligt men standard är att rootkontot är disablat med tomt lösenord.

Ja isåfall var det ju värre

Skickades från m.sweclockers.com

Visa signatur

Stationär: Ryzen 5 3600 | Asus GTX 980
Bärbar: Razer Blade 15 Advanced 2020 | 4K OLED | RTX 2080 Super