Apple bekräftar säkerhetshål i Mac OS

Permalänk
Medlem

Varför är gästkontot aktivt by default? Min privata Mac där jag är admin har gästkontot aktivt och jag har av lathet inte stängt det tidigare. När används gästkontot?

Permalänk
Skrivet av ejma:

Varför är gästkontot aktivt by default? Min privata Mac där jag är admin har gästkontot aktivt och jag har av lathet inte stängt det tidigare. När används gästkontot?

Om din maskin stjäls så är tanken att den som tagit burken ska logga in med gäst-kontot o koppla upp sig på nätet.
På så sätt kan du spåra maskinen via iCloud.
Kontot är väldigt begränsat..

Permalänk
Skrivet av mrpijey:

Provade detta på fyra olika maskiner i av två olika generationer, två nyinstallerade och två uppgraderade. Kan inte logga in med root... måste vara nåt mer som krävs för att det skall funka.

Buggen finns ”bara” i High Sierra (10.13 och 10.13.1), men det är väl illa nog. Otroligt klantig miss. Men det löser sig nog snabbt.

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac Pro (Mid 2010) | 6-Core Intel Xeon ”Westmere” | Radeon RX 5700 XT | 32 GB RAM | macOS 12 Monterey | Windows 10
• MacBook Pro 14" | M2 Max | 96 GB RAM | macOS 14 Sonoma

Permalänk
Medlem
Skrivet av anon159643:

Det finns säkerhetshål överallt, dessa av olika grader. Men att det har tagit så lång tid innan dessa miljontals användare inte upptäcker att man behöver skriva in ett lösenord för rootkontot, ger mig lite antydan om vad det är för användare.

Sedan visst man bör inte använda rootkontot 500 gånger om dagen som jag gör i Debian genom sudo, men orka skaffa andra konton för varenda maskin.

Undra hur många år det skulle ta på windows server innan någon upptäckte att man kunde logga in på administratorkontot utan lösenord?

Vilka dumheter. Det finns ingen anledning att logga in som root, så det är knappast konstigt att det inte upptäckts på en gång.

Permalänk
Inaktiv
Skrivet av DasIch:

Vilka dumheter. Det finns ingen anledning att logga in som root, så det är knappast konstigt att det inte upptäckts på en gång.

Snarare att det finns ingen mening att skapa en massa användare med onödigt höga rättigheter i onödan. Väldigt få användare behöver ha rättigheter att kunna ändra i systemet och då ger man dem ej det. Att hålla på och skapa en massa onödiga administratörskonto på varenda maskin man ha igång, ja då har man gott om tid. Sedan visst bör man använda sig av domän-användare så mycket som man kan, lokala användare på datorn borde vara förbjudet till allt annat än felsökning.

Permalänk
Medlem
Skrivet av anon159643:

Snarare att det finns ingen mening att skapa en massa användare med onödigt höga rättigheter i onödan. Väldigt få användare behöver ha rättigheter att kunna ändra i systemet och då ger man dem ej det. Att hålla på och skapa en massa onödiga administratörskonto på varenda maskin man ha igång, ja då har man gott om tid. Sedan visst bör man använda sig av domän-användare så mycket som man kan, lokala användare på datorn borde vara förbjudet till allt annat än felsökning.

Sedan kan man komma tillbaka till verkligheten och inse att de flesta aldrig kommer sätta upp en domän hemma.
Istället har man vissa användare som kan eskalera privilegierna vid behov, 'sudo' eller motsvarande, och man loggar aldrig någonsin in som root. Och därför kan det ta tid att upptäcka sådana här buggar.
Men visst, vill du känna dig lite bättre än Mac-användarna kan du väl få göra det. Efter alla root exploits och buggar till Linux kan vi dock likaledes ifrågasätta dessa användare...

Permalänk
Medlem

Patch finns tillgänglig i App Store
https://support.apple.com/sv-se/HT208315

Permalänk
Skrivet av _Merc_:

Det är inte det enda säkerhetshålet i apple produkter. Deras iphones har lika stora problem.

Vad syftar du på?

Skrivet av MexxII:

Apple gör det igen alltså. Lanseringen av iOS 11 avskräckte mig från att uppgradera datorn från Sierra till High Sierra. Satan vilka problem jag hade med iOS 11, aldrig varit med om något liknande. Kommer nog vänta en månad till eller så, förhoppningsvis så har alla dessa barnsjukdomar botats tills dess.

Har haft några småproblem jag med, men upplever inte alls att det varit (är) så illa som du beskriver. Detta på två olika enheter. Däremot är det något segare än iOS 10, vilket så klart inte är bra. Hoppas kommande uppdateringar fixar till det lite bättre.

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac Pro (Mid 2010) | 6-Core Intel Xeon ”Westmere” | Radeon RX 5700 XT | 32 GB RAM | macOS 12 Monterey | Windows 10
• MacBook Pro 14" | M2 Max | 96 GB RAM | macOS 14 Sonoma

Permalänk
Avstängd

@star-affinity: att man inte kan glömma nätverk om man inte är uppkopplad till det. Du kan komma in genom öppna nätverk som telefoner har varit anslutna till.

Visa signatur

New: Asus x370 prime pro, Ryzen 1700 (@3.925ghz) , Ripjaws V 16GB 3600 MHz (@3200mhz 14c). https://valid.x86.fr/curj7r
Radeon VII.

Permalänk
Medlem
Skrivet av star-affinity:

Vad syftar du på?

Har haft några småproblem jag med, men upplever inte alls att det varit (är) så illa som du beskriver. Detta på två olika enheter. Däremot är det något segare än iOS 10, vilket så klart inte är bra. Hoppas kommande uppdateringar fixar till det lite bättre.

För mig så var all mediauppspelning helt buggat. Det syntes inte om jag spelade upp varken musik eller podcaster. Låsskärmen var alltid densamma oavsett så kunde jag inte höja ljudet på musiken då heller. Sedan hade jag inget ljud överhuvudtaget när jag ringde eller tog emot samtal. Så min upplevelse med iOS11 vid release var hemsk, kändes inte som att det var färdigt och att jag fick någon "ofrivillig" alpha/beta-version utav det hela då de nya funktionerna inte funkade något vidare.

Så min uppfattning av det hela var att iOS 11 blev påskyndat, och vare sig det var stabilt eller inte skulle ut till varje pris för någon högre upp i kedjan sagt det.... Har haft flertalet iPhones sträckandes från 3G fram till sjuan idag och aldrig har det krånglat som senast, men nu funkar det bra iaf.

Förtroendet blev sviket och hädanefter väntar jag in några fler versioner så risken att jag går på en ny mina blir mindre

Visa signatur

7800x3D | 7900 XTX | Custom loop | Samsung Neo G7 | Razer Deathadder Pro v3 | Razer Huntsman | Sennheiser HD 660S | Hifiman Arya Stealth | Denafrips Ares II | Drop THX AAA 789 | Macbook Pro 13" Retina för studier

Permalänk
Skrivet av MexxII:

Förtroendet blev sviket och hädanefter väntar jag in några fler versioner så risken att jag går på en ny mina blir mindre

Jag förstår dig. Upplever också att det är för mycket slarv och väntar numera också en eller ett par versioner med punktuppdateringar både gällande iOS och macOS. Även om jag överlag trivs rätt bra med båda operativsystemen tycker jag många gånger absolut att saker borde funka ännu bättre med tanke på att Apple ligger bakom både hård- och mjukvara. Använder inte Windows, Linux och Android i lika stor utsträckning, men frågan är hur mycket stabilare det egentligen är (om det nu är det) i Apple-miljö kontra alternativen? Det kanske är mer eller mindre jämt nuförtiden, eller så har Apple tappat lite. Vad vet jag.

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac Pro (Mid 2010) | 6-Core Intel Xeon ”Westmere” | Radeon RX 5700 XT | 32 GB RAM | macOS 12 Monterey | Windows 10
• MacBook Pro 14" | M2 Max | 96 GB RAM | macOS 14 Sonoma

Permalänk
Skrivet av _Merc_:

@star-affinity: att man inte kan glömma nätverk om man inte är uppkopplad till det. Du kan komma in genom öppna nätverk som telefoner har varit anslutna till.

Det har du rätt i och det är så klart dumt. Men det verkar som sparade Wi-Fi-nätverk synkas via iCloud, så på sin macOS-dator kan man ta bort sparade nätverk där.

System Preferences --> Network --> Wi-fi --> Advanced --> Wi-Fi

Men att ta för givet att alla har en macOS-dator bara för att man har en iPhone är lite… fånigt. Plus att jag absolut håller med om att man borde kunna göra det direkt på sin iOS-enhet.

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac Pro (Mid 2010) | 6-Core Intel Xeon ”Westmere” | Radeon RX 5700 XT | 32 GB RAM | macOS 12 Monterey | Windows 10
• MacBook Pro 14" | M2 Max | 96 GB RAM | macOS 14 Sonoma

Permalänk
Medlem
Skrivet av anon159643:

Det finns säkerhetshål överallt, dessa av olika grader. Men att det har tagit så lång tid innan dessa miljontals användare inte upptäcker att man behöver skriva in ett lösenord för rootkontot, ger mig lite antydan om vad det är för användare.

Sedan visst man bör inte använda rootkontot 500 gånger om dagen som jag gör i Debian genom sudo, men orka skaffa andra konton för varenda maskin.

Jag tror det finns många systemadministratörer som inte använder rootkontot med rootlösenord. Jag är en av dem.
Jag kör antingen sudo (elevera min användare) eller möjligtvis sudo su - (bli root med mitt användarlösenord).

I osx har rootkontot inget lösenord som default. Med andra ord, du kan bli root (om du har administratörsrättigheter), men inte logga in som root.

Denna syn på root är i min mening också best practice. Det finns en anledning till att linuxdistar inaktiverar rootinloggning via ssh. Av samma anledning vill du inte ha lokal rootinloggning. All form av spårbarhet i systemet försvinner om du inte kan se vem som eleverade sin användare, utan systemloggarna bara visar att root har loggat på.

Det här är inte heller något unikt för osx, min ubuntu-maskin saknar också rootlösenord, men jag kan bli root via sudo su. Däremot kan jag inte bli root genom su [lösenord].

Av denna anledning är det heller inte så konstigt att det tar lite tid innan det upptäckts, det krävs trots allt att någon försöker logga in som en användare det normalt inte går att logga in som.

När försökte du senast logga in som www-data, daemon eller man på din linuxmaskin?

Visa signatur

Arch | 1440p 165Hz IPS | 7800X3D | 1080ti | 64GB@6GHz | SN850 2TB

Permalänk
Avstängd
Skrivet av star-affinity:

Det har du rätt i och det är så klart dumt. Men det verkar som sparade Wi-Fi-nätverk synkas via iCloud, så på sin macOS-dator kan man ta bort sparade nätverk där.

System Preferences --> Network --> Wi-fi --> Advanced --> Wi-Fi

Men att ta för givet att alla har en macOS-dator bara för att man har en iPhone är lite… fånigt. Plus att jag absolut håller med om att man borde kunna göra det direkt på sin iOS-enhet.

majoriteten har ingen aning om det och det är vad som är farligt.

Skickades från m.sweclockers.com

Visa signatur

New: Asus x370 prime pro, Ryzen 1700 (@3.925ghz) , Ripjaws V 16GB 3600 MHz (@3200mhz 14c). https://valid.x86.fr/curj7r
Radeon VII.

Permalänk
Skrivet av _Merc_:

majoriteten har ingen aning om det och det är vad som är farligt.

Skickades från m.sweclockers.com

Men vad exakt är det som du tänker är farligt med det? Att folk utan att veta om det (om de kommer i närheten nätverket igen) automatiskt hoppar på nätverk det tidigare varit ansluta till?

Visa signatur

• Fractal Design North | ASUS ROG Strix B650E-F | Ryzen 7 7800X3D | Radeon RX 7900 GRE | 64 GB RAM | Windows 11
• Mac Pro (Mid 2010) | 6-Core Intel Xeon ”Westmere” | Radeon RX 5700 XT | 32 GB RAM | macOS 12 Monterey | Windows 10
• MacBook Pro 14" | M2 Max | 96 GB RAM | macOS 14 Sonoma

Permalänk
Medlem
Skrivet av Mkcn:

Gillar att en nämnde i en tråd på Apples forum för 2 veckor sedan att man kan logga in som root helt casual.

https://forums.developer.apple.com/thread/79235

Länk till bild med kommentaren:
https://i.imgur.com/S635XNs.png

Festlig tråd!

Skrivet av Gender Bender:

Smart att publicera säkerhetshålet helt öppet på Twitter.

Fast det låg på forumet i 2 veckor innan dess. Och eftersom inget verkade hända så håller jag med krigelkorren i detta fall

Skrivet av krigelkorren:

Nu kan ju användare åtminstone göra någonting åt problemet, när de känner till läget, istället för att dem som listat ut det skall kunna leka runt ostört.
Så att folk känner till hålet i detta fallet måste ju vara det bättre scenariot.

–––

Skrivet av mrpijey:

Provade detta på fyra olika maskiner i av två olika generationer, två nyinstallerade och två uppgraderade. Kan inte logga in med root... måste vara nåt mer som krävs för att det skall funka.

Det funkar inte alltid första gången. Flera beskriver det som att man måste spamma retur-knappen. Sen kan det vara så att maskinerna är patchade nu.

Tillägg utanför ämnet:

Skrivet av Interceptor:

Om din maskin stjäls så är tanken att den som tagit burken ska logga in med gäst-kontot o koppla upp sig på nätet.
På så sätt kan du spåra maskinen via iCloud.
Kontot är väldigt begränsat..

Jag måste säga att jag är hedrad att ha läst ett av dina 4 inlägg de senaste 10 åren.

Visa signatur

Räkna ut hur kraftigt nätaggregat du behöver på OuterVision Power Supply Calculator. 500W räcker för de allra flesta vanliga system. Seasonic är bäst. ;) – Elektrostatisk urladdning är ett verkligt problem.
"People who are serious about software should make their own hardware" – Alan Kay
Bojkotta maffian

Permalänk
Medlem
Skrivet av Gender Bender:

Grejen är den att vi användare inte behöver veta hur man utnyttjar säkerhetshålet, utan bara hur man skyddar sig. Hade de bara sagt något i stil med "Hej, Apple. Vi har hittat ett säkerhetshål som ni måste åtgärda. Hör av er. Så här kan ni användare skydda er tills vidare". Att skriva i detalj hur man får root access utan lösenord är något som bara gynnar the bad guys, inte användarna.

Nu kan man givetvis ha synpunkter på hur man har rapporterat en dråplig bugg som denna. Faktum är att den fanns där.
Nu är det som det är, man får väl i så fall vara glad att de som upptäckte buggen vände sig till allmänheten och inte enbart till personer med ont uppsåt.
Med risk för att låta dömande nu så förväntar jag mig inget enastående från mac-communityt, då det lika gärna skulle kunna handla om en "feature" i deras ögon.

Grejen är också den att de som har ett uppsåt att begå intrång, ganska enkelt kan förstå vad som är på tapeten om man skulle uppmana till något så trivialt som att "sätta ett root-lösenord" så jag tror inte man vinner särskilt mycket på att smussla med sådant.

I detta fallet hade man åtminstone 3 alternativ, låsa in datorn, ha den under uppsikt, åtgärda problemet själv.

Visa signatur

Tower: ace Battle IV | CPU AMD Phenom II X2 BE unlocked 4cores@3,2GHz | RAM 8GB DDR2@800MHz | MB ASUS M4A785-M | GFK AMD Radeon HD 6850 1GB | HDD Kingston SSD Now 60GB (/) Seagate 2TB(/home) | OS Ubuntu 20.04 LTS
-Numera titulerad: "dator-hipster" då jag har en AMD GPU och dessutom kör Linux.

Permalänk
Medlem
Skrivet av _Merc_:

@star-affinity: att man inte kan glömma nätverk om man inte är uppkopplad till det. Du kan komma in genom öppna nätverk som telefoner har varit anslutna till.

Inställningar - Allmänt - Nollställ - Nollställ nätverk.

Permalänk
Medlem
Skrivet av Paddanx:

I ren princip sak håller jag med, och i andra artiklar på nätet (källorna till detta) visar man också att detta visades och förklarades för Apple för 2 veckor sedan. Twitter posten är från igår. Apple verkade tydligen inte bry sig nog för att ens svara på det. Så de har gjort exakt det du säger i posten ovan de "borde".

Tänker du på forumtråden så är ju det ett rent användarforum, oövervakat av Apple, och bör då inte kunna räknas som "visades och förklarades för Apple".

Permalänk
Medlem
Skrivet av pre-dator:

Tänker du på forumtråden så är ju det ett rent användarforum, oövervakat av Apple, och bör då inte kunna räknas som "visades och förklarades för Apple".

Precis. Sen finns det också en fix ute sen en dag tillbaka.

Man kan förstås alltid fråga sig hur effektivt allvarliga buggar snappas upp och fixas. Det är en ständigt relevant fråga, men jag tror inte vi kommer fram till något vettigare svar än att det alltid kan bli bättre. Ett par veckor för att få det här fixat förefaller dock rimligt.