Jump to content
Sign in to follow this  
Trizomu

Wachtwoordprompt macOS is te omzeilen met eenvoudige truc



Recommended Posts

In macOS is het mogelijk om een beveiligingsprompt waar om het wachtwoord van een administrator wordt gevraagd te omzeilen door 'root' in te vullen en het wachtwoordveld leeg te laten. Het lek werkt op de recentste versie van macOS High Sierra.

Het lek werd ontdekt door gebruiker Lemi Ergin, die zijn bevindingen op Twitter deelde. Hij geeft aan dat er soms meerdere pogingen gedaan moeten worden, maar het in principe altijd lukt. Ook is het mogelijk om op deze manier op een vergrendelde computer in te loggen of vanuit een gastaccount een administratoraccount aan te maken. Tweakers heeft de bug op meerdere Apple-computers weten te reproduceren. Het lijkt alleen te werken op High Sierra, niet op eerdere versies.

Apple heeft nog niet op de bug gereageerd. Of en wanneer er een oplossing voor komt, is nog niet bekend. In de tussentijd is er een workaround beschikbaar door de rootgebruiker in te schakelen en daar een wachtwoord aan toe te kennen. Op de website van Apple is een stappenplan beschikbaar die uitlegt hoe dit te doen.

Het is niet de eerste keer dat er een slordige bug in macOS boven water komt drijven. In oktober bleek dat het mogelijk was om het wachtwoord van een apfs-volume te tonen op de plaats van de hint. Apple heeft toen snel een update uitgebracht die het probleem verhielp.

Update 29/11/2017: bron Tweakers

Apple werkt aan update voor bug die roottoegang geeft tot macOS High Sierra

Apple heeft gereageerd op het bericht dat macOS High Sierra een ernstige bug bevat die elke gebruiker laat inloggen met rootrechten. Het bedrijf werkt aan een software-update en legt uit hoe klanten van een work-around gebruik kunnen maken.

Details over de update, zoals wanneer deze moet verschijnen, geeft Apple nog niet. "In de tussentijd voorkomt het instellen van een rootwachtwoord ongeoorloofde toegang tot je Mac", stelt het bedrijf in de reactie. Apple verwijst daarbij naar het stappenplan voor het inschakelen van een rootgebruiker en het instellen van een wachtwoord. Het bedrijf benadrukt dat gebruikers moeten voorkomen dat een leeg wachtwoord ingesteld is.

Dinsdag bleek dat het in principe voor een ieder mogelijk was in te loggen op macOS High Sierra door simpelweg 'root' in te vullen in de beveiligingsprompt en het wachtwoordveld leeg te laten. Standaard is root uitgeschakeld, maar door zo in te loggen wordt meteen zo'n account, zonder wachtwoord aangemaakt. Daarmee krijgen onbevoegden volledige toegang tot Mac-systemen, wat bijvoorbeeld bij onbeheerde computers grote risico's oplevert. Bovendien kan met rootrechten op afstand ingelogd worden.

De bug zit in alle versies van macOS High Sierra. Eerdere versies van Apples besturingssysteem zijn niet getroffen.

 

Update 29/11/2017 23:05h bron: Tweakers

Apple brengt update uit die 'root'-bug in macOS High Sierra fikst.

Apple heeft een update uitgebracht voor macOS High Sierra om de bug te fiksen waarmee het mogelijk was om in te loggen als rootgebruiker zonder wachtwoord. Volgens Apple lag een 'logic error' ten grondslag aan de fout in de software.

Het gaat om Security Update 2017-001 en gebruikers van High Sierra kunnen de update per direct installeren. Na de update vraagt de software om extra validatie van gegevens bij het verzoek om in te loggen als root. Apple raadt gebruikers aan de update zo snel mogelijk te installeren. Alleen gebruikers van High Sierra zijn getroffen door de bug, zo bevestigt Apple.

De 'root'-bug kwam dinsdagavond naar buiten. Als macOS de beveiligingsprompt laat zien, kunnen gebruikers zonder de update 'root' als gebruikersnaam invoeren en zonder wachtwoord op 'unlock' klikken. Daarna is het ook mogelijk om op deze manier vanaf het lockscreen in te loggen op een Mac-machine.

Nog voor de update naar buiten kwam, konden gebruikers de kwetsbaarheid verhelpen door zelf de rootgebruiker te activeren en een eigen wachtwoord daarvoor in te stellen. Standaard zet Apple de rootgebruiker uit in het besturingssysteem. Wat voor 'logic error' zorgde voor de bug, zegt Apple niet. Beveiligingsonderzoeker Patric Wardle ontdekte dat de eerste klik op 'unlock' de rootgebruiker zonder wachtwoord aanmaakte, terwijl gebruikers met de tweede klik konden inloggen. Het is onduidelijk of kwaadwillenden van de softwarefout misbruik hebben gemaakt. De bug zat sinds de release van High Sierra in macOS.

 


Toon volledig nieuwsbericht

Share this post


Link to post
Share on other sites

Dit is wel een hele zielige zero-day leak. Dat apple zou een fout heeft gemist. Vreemd, maar er is gelukkig al een patch voor

Share this post


Link to post
Share on other sites

Oef, dit is inderdaad wel slordig. Gisteren hier even getest en het werkte inderdaad. Gelukkig is er snel een update uitgebracht. Deze gisteravond ook geïnstalleerd.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Similar Content

    • By Trizomu
      Apple zal maandag aankondigen dat muziekapp iTunes gaat verdwijnen, schrijft Bloomberg in een vooruitblik op Apples Worldwide Developers Conference (WWDC) van volgende week.

      Het bedrijf zou volgens Bloomberg van plan zijn om iTunes ook op MacOS te vervangen door de apps Music, TV en Podcasts, zoals eerder al op iPhones en iPads gebeurde. Updates en andere aanpassingen aan het apparaat kunnen vanaf dat moment worden uitgevoerd via de Apple Music-app.
      De muziekapp iTunes werd in 2001 geïntroduceerd als antwoord op illegale muziekdownloaddiensten. Het programma was lange tijd de enige manier om de software op Apple-producten te updaten. Het assortiment van de iTunes Store werd in de beginjaren rap uitgebreid naar games, films, boeken, podcasts en andere media. Apple is al enige tijd bezig om deze onderdelen op te breken naar eigen apps. Met de definitieve overstap van iTunes naar Apple Music hoopt het bedrijf bovendien in te spelen op de verschuiving in de markt van muziekdownloads naar muziekstreaming.
       
    • By Trizomu
      Apple zal maandag aankondigen dat muziekapp iTunes gaat verdwijnen, schrijft Bloomberg in een vooruitblik op Apples Worldwide Developers Conference (WWDC) van volgende week.

      Het bedrijf zou volgens Bloomberg van plan zijn om iTunes ook op MacOS te vervangen door de apps Music, TV en Podcasts, zoals eerder al op iPhones en iPads gebeurde. Updates en andere aanpassingen aan het apparaat kunnen vanaf dat moment worden uitgevoerd via de Apple Music-app.
      De muziekapp iTunes werd in 2001 geïntroduceerd als antwoord op illegale muziekdownloaddiensten. Het programma was lange tijd de enige manier om de software op Apple-producten te updaten. Het assortiment van de iTunes Store werd in de beginjaren rap uitgebreid naar games, films, boeken, podcasts en andere media. Apple is al enige tijd bezig om deze onderdelen op te breken naar eigen apps. Met de definitieve overstap van iTunes naar Apple Music hoopt het bedrijf bovendien in te spelen op de verschuiving in de markt van muziekdownloads naar muziekstreaming.
       

      Toon volledig nieuwsbericht
    • By penduraman
      Alsjeblieft, iedereen, vertel me hoe ik de Apple Mail-bestanden kan migreren naar PST op de Mac-computer, ik heb daar veel e-mails over.
    • By mimidelahaye
      Beste
      Ik heb een probleem ,de Ipad 11 van mijn vriend geeft steeds de melding dat zijn apple ID niet is geactiveerd. (Support via mij bij apple if aanvragen met  zijn apple ID lukt niet omdat deze niet is gekend bij Apple
      Het probleem is voortgekomen door waarschijnlijk alle verificatie niet tijdig op de locatie (mail en gsm) toekwamen en het aantal hierdoor was bereikt.
      Ik werk niet met deze software heb wel een tablet (android) en Pc.
      Ik zou graag weten wat de beste manier is om deze Ipad  opnieuw in te stellen zodanig dat deze alle mogelijkheden geeft die beschikbaar zijn.
      Met vriendelijke groeten en dank bij voorbaat
  • Hebben wij jou kunnen helpen? Help ons ook met een donatie naar wens. Met jouw donatie kunnen we verbeteringen doorvoeren op de website voor de bezoekers en leden. Bedankt! :roos:

    Donatie via Tikkie

    donatie.png


×
×
  • Create New...