Volgens mij is dit dan ook je eigen fout als je standaard een admin account gebruikt. Onder een user account kun je vrijwel alles doen, inclusies admin taken, zolang je maar steeds het wachtwoord van een beheerders account opgeeft. Volgens mij log ik maar 2 of 3 maal per jaar in onder een admin account.

Alleen root-toegang verkrijgen via een 'sudo' commando lukt niet vanuit een user account. En blijkbaar werkt het lek ook niet vanuit een user account.

Logica wordt me nog niet geheel duidelijk


Je verkrijgt dus rootrechten terwijl je bent ingelogd onder een standaard account.
Een standaard account kan je op je Mac aanmaken naast het 1e account dat een administrator account is.


Inderdaad, wanneer je onder je admin account bent ingelogd en bepaalde commando's wil uitvoeren.

Echter, wanneer je onder een standaard account bent ingelogd heb je helemaal géén rechten om Sudo commands uit te voeren want een standaard gebruiker is standaard niet opgenomen in de sudoers list (!).
Dat is ook de melding die je krijgt wanneer je het sudo commando toch probeert uit te voeren (acces denied).


Yep dat is het standaard advies, standaard werken onder je standaard account met standaard rechten. En inderdaad, dat zouden veel meer gebruikers nog kunnen doen, dat geldt voor Mac gebruikers, voor windows gebruikers en waarschijnlijk ook voor Linux gebruikers.

Maar het hele punt was toch dat er geconstateerd werd dat je juist vanuit dit standaard account met een sudo command rootrechten kon verkrijgen?
Ten minste, ik neem aan dat met lokale aanvaller actieve malware wordt bedoeld dat actief is onder een standaard account waaronder je op dat moment bent ingelogd.

Of hebben we het over malware die nog steeds actief is onder een account waaronder je niet bent ingelogd?

Iets met Fast User Switching enabled wellicht?
Het is zo even uit mijn hoofd allang bekend dat je met deze functie minder/niet veilig bent.

Niet activeren, het staat bij mijn weten standaard uit.

Iemand anders ideeën hoe het zit?
(een semi externe route / iets met gebruik van com.apple.acces_screensharing / com.apple.access_ssh ?)

Ik ben dan ook nog benieuwd of dit lek alléén in Yosemite voorkomt of ook in oudere versies van os X. Iemand die dat weet ?

Als ik dit url zo door lees is het hem oa met een iets andere versie ook op 10.8.5 gelukt:
http://www.macworld.com/article/2841965/swedish-hacker-finds-serious-vulnerability-in-os-x-yosemite.html

"He tested the vulnerability on version 10.8.5 of the OS and got it to work, he says. Then he tried on 10.9 but with no luck.

“I was a bit dejected but continued to investigate,” Kvarnhammar said. “There were a few small differences [in later releases] but the architecture was the same. With a few modifications I was able to use the vulnerability in the latest Mac OS X, version 10.10.”

Ja, maar niet per se hierom!

Dat had je uit security overwegingen eigenlijk allang moeten gaan doen. *
Tenminste als je verbonden bent met het internet of 'contact' hebt met andere apparaten , sticks & devices.

* Op het moment dat je je Mac in gebruik nam.

Tja,dit lek is wel gepatched in Maverics,soort gelijk probleem.
Dus met een beetje extra code kan je zelf misschien al gelijk een eigen patch maken.
Maar ja dan moet je wel kunnen programeren,en dat kan ik niet.
Maar goed ik denk dat Apple wel een keer komt met een service update voor Yosemite,genaamd 10.10.1.
Ze zijn er geloof ik mee bezig.
Dan zal dit lek hopelijk ook gedicht zijn.
Tevens zijn er ook nog problemen met Wifi verbindingen in Yosemite wordt op vele fora over geschreven.
Dus voor Apple werk aan de winkel om ook dit probleem te verhelpen in Yosemite 10.10.1

Ik vind het jammer dat het niet duidelijk is of dit een hack is waarbij sudo kan worden omzeild of dat het specifiek iets is wat alleen in een admin account op OSX werkt.
Op mijn hackintosh gebruik ik een standaard gebruikers account welke sudo kan gebruiken dus ik ben benieuwd of deze local exploit dan ook werkt, en nog belangrijker: misschien treft dit ook freebsd (aangezien darwin daarop gebaseerd is).