News macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

[BalthasarBux]

Insofern es keine noch unbekannte Sicherheitslücke gibt, bringt es keine zusätzliche Sicherheit.

 

[Autokiller677]

Eher nicht. Wenn kein PW vergeben ist (und der Angriff nicht möglich ist) kann man auf den root User gar nicht zugreifen. Wenn ein PW vergeben ist, kann es (theoretisch) geknackt werden.

 

[Dezor]

Wenn ein PW vergeben ist, kann es (theoretisch) geknackt werden.

So sehe ich das auch, aber ein langes, nichttriviales Passwort mit Zahlen und Sonderzeichen ist in meinen Augen auch kein wirkliches Sicherheitsrisiko.

 

[Autokiller677]

Deshalb das "theoretisch".

 

[L0g4n]

https://www.reddit.com/r/programming/comments/7gkz4o
Update hat wohl das File Sharing kaputt gemacht.
Scheint mittlerweile durch ein erneutes Update behoben worden zu sein

 

[BalthasarBux]

Korrekt, es gibt ein korrigiertes Update (immernoch 2017-001). Bei Installation der ersten Variante wird es dann einfach immernoch angezeigt und installiert.

 

[B.XP]

Soweit würde ich nicht mal gehen. Aber als Entwickler weißt Du doch selbst am besten wie UAT aufgebaut sind.
Kennst Du auch nur einen UAT in dem steht: "Bitte testen sie die Funktion zehn mal hintereinander?"

Was ich damit meine, ein Tester hätte ja bewusst 10x die PW-Abfrage leer lassen müssen und einfach "durchentern"..
Da würde ich als SuperUser den Schuh zurück in die Entwicklung / QA schieben - müsste sowas nicht durch fuzzing auffallen..?

Öhm, wenn der Fehler der art ist wie er nach decompilation etc. beschrieben wurde ist das sogar ein Testfall, der recht einfach ist; Da wird grob gesagt beim ersten Mal statt der Fehlermeldung das Passwort (leer) gesetzt, bei der zweiten Anmeldung ist dann der User aktiv und wird angemeldet.
Effektiv gibt es jetzt zwei Dinge, die auf Unit-Level abgesichert sein müssten: Dass die Fehlermeldung ausgegeben wird und dass die Unit in dem Fall keine weiteren Daten in der Klasse/im Modul verändert. Das ist zwar ne ziemliche Schreiberei, aber nicht sonderlich kompliziert.

 

[rIQ]

Wenn sich jemand detaillierter Informieren will -> https://objective-see.com/blog/blog_0x24.html

 

[Wilhelm14]

https://www.reddit.com/r/programming/comments/7gkz4o

Hier ein Artikel, der den neuen Fehler im Update beschreibt. '(Und, dass es ein Update zum Update gibt.)
https://heise.de/-3905345

 

[Sun_set_1]

Öhm, wenn der Fehler der art ist wie er nach decompilation etc. beschrieben wurde ist das sogar ein Testfall, der recht einfach ist; Da wird grob gesagt beim ersten Mal statt der Fehlermeldung das Passwort (leer) gesetzt, bei der zweiten Anmeldung ist dann der User aktiv und wird angemeldet.
Effektiv gibt es jetzt zwei Dinge, die auf Unit-Level abgesichert sein müssten: Dass die Fehlermeldung ausgegeben wird und dass die Unit in dem Fall keine weiteren Daten in der Klasse/im Modul verändert. Das ist zwar ne ziemliche Schreiberei, aber nicht sonderlich kompliziert.

Das ist richtig, keine Frage. Dachte beim schreiben auch noch, dass man (wie Anfangs erst bei Twitter geschrieben) mehrere male die PW Abfrage leer lassen muss, nicht bloß ein bzw. zwei mal.
Trotz dessen, ich bin kein fuzzing Experte, aber nach meinem Verständnis wird doch genau so etwas durchlaufen. Programmcodestresstest (geiles Wort) durch die gleichzeitige, wiederholte Ausführung von bestimmten Tasks / Modulen mit unterschiedlichen Inputwerten (inklusive Leerwerten?) Und dabei hätte dann doch eigentlich auch der Fall, doppelte Ausführung hintereinander, auffallen müssen.

Also gibt es nur 2 logische Antworten:
1. Entweder es erfolgt überhaupt keine (oder zumindest sehr mangelhafte) Sicherheitsüberprüfung.
2. Oder Tools die dafür eingesetzt werden, sind nicht mehr wirklich aktuell und anwendbar.

 

[Prinzenrolle_]

http://winfuture.de/news,100837.htm...um=AutomatedWallPost&utm_campaign=SocialMedia

 

[Chibi88]

In meinen Augen darf das ja nicht passieren, ist aber auch nicht sooo schlimm.

Ganz ehrlich: wenn ich physischen Zugriff auf das Gerät habe, starte ich das Macbook einfach in den recovery Modus und setze das PW über das Terminal zurück. Dann habe ich auch Zugriff auf die Daten. Das geht immer und kann nur durch ein Firmware Passwort abgesichert werden oder aber durch FV2. Die wenigsten werden ersteres aktiviert haben.

 

[_LC_]

In meinen Augen darf das ja nicht passieren, ist aber auch nicht sooo schlimm.

Ganz ehrlich: wenn ich physischen Zugriff auf das Gerät habe, starte ich das Macbook einfach in den recovery Modus und setze das PW über das Terminal zurück. Dann habe ich auch Zugriff auf die Daten. Das geht immer und kann nur durch ein Firmware Passwort abgesichert werden oder aber durch FV2. Die wenigsten werden ersteres aktiviert haben.

Möchten Sie hierdurch zum Ausdruck bringen, dass Macs nicht für Firmen geeignet sind?

 

[pilz88]

Schade das dem Mac immer weniger kompetentes Personal zur Verfügung zu stehen scheint.

Die besten OS für den Mac waren wohl laut Apple Jüngern 10.6(Snow Leopard) und davor noch 10.4(Tiger),nach 10.6 ging der ganze Focus ja mehr und mehr zum Iphone.

Auch die 2 Jahre Entwicklungszeit kamen diesen Betriebssystemen wohl zu Gute.

Die Zeit das der Mac dem PC überlegen war scheint wohl nicht wiederzukommen(es sei denn Apple steigt auf Ryzen um?! )

 

[L0g4n]

macOS High Sierra: Update und Neuinstallation bringen Root-Lücke zurück

 

[BalthasarBux]

@pilz88: Das kann ich so leider bestätigen. Viele Entscheidungen und Versäumnisse bei Hard- und Software machen den Eindruck, dass hier viel nur noch halb durchdacht wird. Nach zehn Jahren Erfahrungen mit macOS macht es aber wirklich keinen Spaß, den Weg zurück auf Windows zu gehen.

@L0g4n: Kann ich halb bestätigen: Ich musste gestern einen Mac frisch aufsetzen. Das Update war in der Installation nicht dabei, wurde aber direkt nach dem ersten Start angezeigt (2017-001).