Jump to content

  • Trizomu
    Trizomu

    Wachtwoordprompt macOS is te omzeilen met eenvoudige truc

    In macOS is het mogelijk om een beveiligingsprompt waar om het wachtwoord van een administrator wordt gevraagd te omzeilen door 'root' in te vullen en het wachtwoordveld leeg te laten. Het lek werkt op de recentste versie van macOS High Sierra.

    Het lek werd ontdekt door gebruiker Lemi Ergin, die zijn bevindingen op Twitter deelde. Hij geeft aan dat er soms meerdere pogingen gedaan moeten worden, maar het in principe altijd lukt. Ook is het mogelijk om op deze manier op een vergrendelde computer in te loggen of vanuit een gastaccount een administratoraccount aan te maken. Tweakers heeft de bug op meerdere Apple-computers weten te reproduceren. Het lijkt alleen te werken op High Sierra, niet op eerdere versies.

    Apple heeft nog niet op de bug gereageerd. Of en wanneer er een oplossing voor komt, is nog niet bekend. In de tussentijd is er een workaround beschikbaar door de rootgebruiker in te schakelen en daar een wachtwoord aan toe te kennen. Op de website van Apple is een stappenplan beschikbaar die uitlegt hoe dit te doen.

    Het is niet de eerste keer dat er een slordige bug in macOS boven water komt drijven. In oktober bleek dat het mogelijk was om het wachtwoord van een apfs-volume te tonen op de plaats van de hint. Apple heeft toen snel een update uitgebracht die het probleem verhielp.

    Update 29/11/2017: bron Tweakers

    Apple werkt aan update voor bug die roottoegang geeft tot macOS High Sierra

    Apple heeft gereageerd op het bericht dat macOS High Sierra een ernstige bug bevat die elke gebruiker laat inloggen met rootrechten. Het bedrijf werkt aan een software-update en legt uit hoe klanten van een work-around gebruik kunnen maken.

    Details over de update, zoals wanneer deze moet verschijnen, geeft Apple nog niet. "In de tussentijd voorkomt het instellen van een rootwachtwoord ongeoorloofde toegang tot je Mac", stelt het bedrijf in de reactie. Apple verwijst daarbij naar het stappenplan voor het inschakelen van een rootgebruiker en het instellen van een wachtwoord. Het bedrijf benadrukt dat gebruikers moeten voorkomen dat een leeg wachtwoord ingesteld is.

    Dinsdag bleek dat het in principe voor een ieder mogelijk was in te loggen op macOS High Sierra door simpelweg 'root' in te vullen in de beveiligingsprompt en het wachtwoordveld leeg te laten. Standaard is root uitgeschakeld, maar door zo in te loggen wordt meteen zo'n account, zonder wachtwoord aangemaakt. Daarmee krijgen onbevoegden volledige toegang tot Mac-systemen, wat bijvoorbeeld bij onbeheerde computers grote risico's oplevert. Bovendien kan met rootrechten op afstand ingelogd worden.

    De bug zit in alle versies van macOS High Sierra. Eerdere versies van Apples besturingssysteem zijn niet getroffen.

     

    Update 29/11/2017 23:05h bron: Tweakers

    Apple brengt update uit die 'root'-bug in macOS High Sierra fikst.

    Apple heeft een update uitgebracht voor macOS High Sierra om de bug te fiksen waarmee het mogelijk was om in te loggen als rootgebruiker zonder wachtwoord. Volgens Apple lag een 'logic error' ten grondslag aan de fout in de software.

    Het gaat om Security Update 2017-001 en gebruikers van High Sierra kunnen de update per direct installeren. Na de update vraagt de software om extra validatie van gegevens bij het verzoek om in te loggen als root. Apple raadt gebruikers aan de update zo snel mogelijk te installeren. Alleen gebruikers van High Sierra zijn getroffen door de bug, zo bevestigt Apple.

    De 'root'-bug kwam dinsdagavond naar buiten. Als macOS de beveiligingsprompt laat zien, kunnen gebruikers zonder de update 'root' als gebruikersnaam invoeren en zonder wachtwoord op 'unlock' klikken. Daarna is het ook mogelijk om op deze manier vanaf het lockscreen in te loggen op een Mac-machine.

    Nog voor de update naar buiten kwam, konden gebruikers de kwetsbaarheid verhelpen door zelf de rootgebruiker te activeren en een eigen wachtwoord daarvoor in te stellen. Standaard zet Apple de rootgebruiker uit in het besturingssysteem. Wat voor 'logic error' zorgde voor de bug, zegt Apple niet. Beveiligingsonderzoeker Patric Wardle ontdekte dat de eerste klik op 'unlock' de rootgebruiker zonder wachtwoord aanmaakte, terwijl gebruikers met de tweede klik konden inloggen. Het is onduidelijk of kwaadwillenden van de softwarefout misbruik hebben gemaakt. De bug zat sinds de release van High Sierra in macOS.

     

    Edited by Trizomu



    User Feedback

    Recommended Comments

    Dit is wel een hele zielige zero-day leak. Dat apple zou een fout heeft gemist. Vreemd, maar er is gelukkig al een patch voor

    Share this comment


    Link to comment
    Share on other sites

    Oef, dit is inderdaad wel slordig. Gisteren hier even getest en het werkte inderdaad. Gelukkig is er snel een update uitgebracht. Deze gisteravond ook geïnstalleerd.

    Share this comment


    Link to comment
    Share on other sites


    Join the conversation

    You can post now and register later. If you have an account, sign in now to post with your account.

    Guest
    Add a comment...

    ×   Pasted as rich text.   Paste as plain text instead

      Only 75 emoji are allowed.

    ×   Your link has been automatically embedded.   Display as a link instead

    ×   Your previous content has been restored.   Clear editor

    ×   You cannot paste images directly. Upload or insert images from URL.


  • Similar Content

    • By Trizomu
      Apple zal maandag aankondigen dat muziekapp iTunes gaat verdwijnen, schrijft Bloomberg in een vooruitblik op Apples Worldwide Developers Conference (WWDC) van volgende week.

      Het bedrijf zou volgens Bloomberg van plan zijn om iTunes ook op MacOS te vervangen door de apps Music, TV en Podcasts, zoals eerder al op iPhones en iPads gebeurde. Updates en andere aanpassingen aan het apparaat kunnen vanaf dat moment worden uitgevoerd via de Apple Music-app.
      De muziekapp iTunes werd in 2001 geïntroduceerd als antwoord op illegale muziekdownloaddiensten. Het programma was lange tijd de enige manier om de software op Apple-producten te updaten. Het assortiment van de iTunes Store werd in de beginjaren rap uitgebreid naar games, films, boeken, podcasts en andere media. Apple is al enige tijd bezig om deze onderdelen op te breken naar eigen apps. Met de definitieve overstap van iTunes naar Apple Music hoopt het bedrijf bovendien in te spelen op de verschuiving in de markt van muziekdownloads naar muziekstreaming.
       
    • By Trizomu
      Apple zal maandag aankondigen dat muziekapp iTunes gaat verdwijnen, schrijft Bloomberg in een vooruitblik op Apples Worldwide Developers Conference (WWDC) van volgende week.

      Het bedrijf zou volgens Bloomberg van plan zijn om iTunes ook op MacOS te vervangen door de apps Music, TV en Podcasts, zoals eerder al op iPhones en iPads gebeurde. Updates en andere aanpassingen aan het apparaat kunnen vanaf dat moment worden uitgevoerd via de Apple Music-app.
      De muziekapp iTunes werd in 2001 geïntroduceerd als antwoord op illegale muziekdownloaddiensten. Het programma was lange tijd de enige manier om de software op Apple-producten te updaten. Het assortiment van de iTunes Store werd in de beginjaren rap uitgebreid naar games, films, boeken, podcasts en andere media. Apple is al enige tijd bezig om deze onderdelen op te breken naar eigen apps. Met de definitieve overstap van iTunes naar Apple Music hoopt het bedrijf bovendien in te spelen op de verschuiving in de markt van muziekdownloads naar muziekstreaming.
       

      Toon volledig nieuwsbericht
    • By penduraman
      Alsjeblieft, iedereen, vertel me hoe ik de Apple Mail-bestanden kan migreren naar PST op de Mac-computer, ik heb daar veel e-mails over.
×
×
  • Create New...