Zeer slechte zaak natuurlijk, ik heb altijd de gewoonte mijn mac uit te zetten en dat werpt, samen met het firmware password, toch een extra drempel op.

Er is overigens ook al een workarround om het lek te misbruiken:

Stel een wachtwoord in voor root.

sudo passwd root
#Geef een wachtwoord op voor root
dsenableroot -d
#Geef je eigen wachtwoord op.

Heeft iemand twee weken geleden al gepost: https://forums.developer.apple.com/thread/79235 Nov 13, 2017 12:48 PM
Er is toen niemand wakker geworden, nu wel. Eigenlijk moet diegene van het forum de credits krijgen.

Apple reageerde wel binnen 2 uur na deze irresposible disclosure. Mag ook wel na zo'n blunder.

Steve draait hem om in zijn graf.

Helemaal correct, alle credits voor chethan177.

Welke credits? 'T is een forumpost, geen prestatie.

OT: De wachtwoordbescherming in Mac's is sowieso een lachertje, nu je die met een simpele terminal line kan resetten/veranderen, zonder dat je ingelogd bent en het originele wachtwoord weet (letterlijk "reset password").

Irresposible ? Wat betekent dat ?

Wie draait Steve om in zijn graf?

O?

Werkt niet op

10.12 Sierra (Supported)
10.11 El Capitan (Supported)
10.10 Yosemite
10.9 Mavericks
10.8 Mountain Lion
10.7 Lion
10.6 Snow Leopard
10.5 Leopard
10.4 Tiger

(En deze maar diez ie je niet meer in de gebruikersstatistieken terug; 10.3, 10.2, 10.1 10.0)

Werkt wel op Systeem versie10.13 maar dat betekent ook nog niet dat de wereld vergaat.
Want je bent alleen kwetsbaar in een kwetsbare situatie.
Staat dat ding thuis en heb je je standaard uitgeschakelde remote sharing uitgeschakeld gehouden dan is er dus weinig aan de hand.

Maar het is niet heel fraai dit bugje.

Er is niet op alle Mac's op deze manier in te loggen. Wie een Beheerdersaccount vooraf heeft ingesteld in het systeem, logt dus in met naam (die zie je verschijnen op het dialoogvenster) en wachtwoord (dat is leeg).
Dan blijkt de genoemde aanval niet meer te werken.

Ook als de Terminal-commando sudo wordt gebruikt, dan wordt er verwacht dat je het beheerderswachtwoord kent, anders is sudo passwd niet eens uit te voeren.

Irresponsible.

De rest kan je wel interglotten.

Gouden regel : elke computer is kwetsbaar als een ander er fysieke toegang toe heeft.

Patch is uit.

Haha ik kan me nog wel de tijd herrinneren dat je op AIX en Linux systemen kon inloggen als je user -froot intikte...

root natuurlijk ;-)

Je bracht me op een idee!
Ook gelijk geprobeerd als inlog op de appel

Gelukkig niets, was best even 'spannend'
;D

Leuke tutorial hoe je het kan produceren, maar om Security.nl even te quoten:


bron: https://www.security.nl/posting/541111/Ernstig+lek+in+macOS+High+Sierra+geeft+aanvaller+rootrechten

Verkeerde domme quote met domme waarschuwing.

Niets mis met Root als je maar wel een wachtwoord instelt.

Niet iets dat je over het hoofd ziet als dat gebeurt omdat de meeste gebruikers standaard werken onder het admin account en dus maar 1 account hebben.
Heb je root account geactiveerd dan zie je dat direct omdat je in je login menu ineens kan kiezen uit twee.

Dat kan niet niet opvallen, dat ziet zelfs de grootste druif.
Een waarschuwing van niets die alleen maar paniek zaait om niets, alleen al omdat je niet uitlegt wat dan het gevaar is.

Had dan verwezen naar het juiste HT doc erover
https://support.apple.com/en-us/HT204012

Behalve dat veel software developers op Macbooks werken en er vaak een kopie van hun GIT repo op hebben staan en er vanuit gaan dat FireVault etc. heb genoeg bescherming biedt tegen dit soort ongein tijdens diefstal.

Dit is geen fraai bugje, dit is (was) een gapend gat in de security van een OS gebruikt door miljoenen mensen, privé en in de zakelijke markt.

Tevens is er geen geforceerde update voor 10.13.0 (alleen voor 1.13.1) dus simpele mensen met de "ik update morgen / volgende week / etc. wel" zijn flink de sjaak.

Veel?
Hoezo veel?
Hoeveel?
Bewijs graag.

Voorlopig indicatief tegenbewijs die je als waarheid geposeerde aanname er niet geloofwaardig op maakt.

netmarketshare.com all desktop os en Os eruit gefilterd

https://www.netmarketshare.com/operating-system-market-share.aspx?qprid=10&qpcustomd=0&qptimeframe=Y

Omgerekend:

Mac OS X 10,12 --> 53,55 %
Mac OS X 10,11 --> 21,61 %
Mac OS X 10,10 --> 14,03 %
Mac OS X 10,9 --> 5,00 %
Mac OS X 10,6 --> 1,77 %
Mac OS X 10,7 --> 1,45 %
Mac OS X 10,8 --> 1,45 %

Mac OS X 10,13 --> 0,97 % !! (het onderwerp OS X van het nieuws)
Mac OS X 10,5 --> 0,16 %
Mac OS X 10,4 --> 0,00 (0% in de afronding naar 2 decimalen)
samen 100,00 binnen osx meting


Veel?
Die ene procent, allemaal developers.
Nah, er zitten namelijk ook heel veel tweakertjes in die 0,97 procent.

Ergo, niet overtuigd.

De zee is alleen diep als je zwemt uberhaupt en als je zwemt op de plekken war ze diep is.
Doen de meesten niet.

Nee, dat zijn ze niet omdat ze niet allemaal aan de lijst voorwaarden voldoen.

As is vertbrande turf en as geldt dan ook voor alle andere stommigheden die je niet moet doen maar wel kan uithalen.
Niet zo sterk geredeneerd allemaal.

Zet een wachtwoord op root, dan kan je niet meer zonder wachtwoord inloggen.

Om niet geheel duidelijke redenen, wordt Security Update 2017-001 opnieuw ter installatie aangeboden via Software Update - zelfs wanneer deze al geïnstalleerd is. Wie heeft dat ook?

Ja, hier ook.

Zoek eens op bijkomende effecten. Er schien nogal wat gebruikers geklaagd te hebben dat shared folders onderuit gehaald zijn door de eerste fix. Uh fix met nieuwe fout.

Beste karma4, dat heb ik ook gedaan :-)
HT201222 en de "Security Update 2017-001"-pagina maakt geen melding van een heruitgave. Uiteraard is er op zichzelf niets mis met een heruitgave van een problematische update.

Doch, het heruitgeven van een update *zonder* melding is potentieel verdacht. Weliswaar niet zo waarschijnlijk, maar wat als deze of gene een MiTM voor elkaar heeft gekregen - hoe valideert men dan of de heruitgave terecht is?

Hetzelfde geldt voor bepaalde Microsoft Windows-updates: die worden soms ook opnieuw uitgegeven. Vroeger vrijwel altijd met melding van heruitgave: vaak met "v2" erachter geplakt, of een nieuw KB-nummer. Tegenwoordig kijkt Microsoft blijkbaar niet zo krap (denk even terug naar de GetWindowsX-updates en telemetry - zoals KB 3150513)

Tja, het is wat met dat Apple OSje, blunderende software, patches die voor nieuwe problemen zorgen gebrek aan kwaliteitscontrole, en het opnieuw uitbrengen van de zelfde patch, het lijkt verdomme Windows wel.

Nee dat is teveel eer.
Die fix van 1 minuut met 1 regel in je terminal, that is not windows like.

Maar wat geeft het, prowindows antilinux antiapple troll Karma loopt weer te soppen van geluk met zoveel aandacht aan stoorzenderij en de eigenaren van deze site supporten dat gedrag van hem al jaren.
Zou het onderdeel zijn van een of ander sociaal onderzoek?
Facebook had zo'n divisie ooit, gingen ze gebruikers testen op gedrag.

Wat een idee, een prowindows troll een site laten beheersen als onderdeel van een sociaal experiment!
Een andere reden valt er bijna niet verzinnen voor meer dan 5000 reacties in 2,5 jaar tijd.
Hij gebruikt immers Apple spullen, dus reden voor reageren hier is er helemaal niet.

Alles voor de site bezoekersstatistiek?
Meer kliks door minder unieke bezoekers?
Lekker interessant.

Tegelijkertijd met deze vraag stond het andere nieuwtje op deze site tussen de berichten.
Ik heb niets met microsoft maar lig met leveranciers wel eens in clincher wat zij als oplossing van een gemeld probleem zien.
Het helpt als je doorhebt Hoe het hele proces van fixes werkt.

De 1e lijn bij een leverancier houdt de boot af. Wat niet in de interne database van bekende fouten staat bestaat niet. Je zult met overtuigend bewijs moeten komen dat er iets aan de hand is.

Bestaat er een fix in die database dat het probleem beschrijft dan zul je eert met bewijs moeten komen dat die niet werkt dan wel dat de omschrijving er wel op lijkt maar de fix niet helpt.

Wordt er uiteindelijk aan een nieuwe fix begonnen dan komt die eerst intern door met het verzoek om het te proberen. Daarna gaat het mogelijk verder en wordt die nog eens gecombineerd.
Dan pas zie je hem een terugkomen in wat naar buiten gaat.
Dat is de voor fase welke gewoonlijk niet zichtbaar is.

Met de cve's blos gaat het iets meer open maar je ziet de zelfde stappen. Wat her vervelender maakt is dat veel niet eens meer gemeld wordt. Men kan er om heen werken de moeite om iets door te geven en te verbeteren kost alleen maar.

Lijkt wel een backdoor, ongetwijfeld dat ze ervan wisten

Aaaaand its back. :D
http://www.bbc.com/news/technology-42193796

Daarom hoogste tijd om over te stappen op een Linux desktop distro, nog gratis ook...

Leg ens uit waarom Apple er ongetwijfeld van wist en wanneer een security fout een backdoor is en geen blunder.

Ik zie genoeg hiaten flaters en blunders in de professionele wereld. Waarom zou dat met een desktop anders zijn?
Iot en smartphones hebben inmiddels niet zo'n beste naam op cybersecurity gebied. De vragen:
- Wat zou er aan de hand zijn dat elk is lek lijkt te zijn alle software problemen geeft.
-waar zou je moeten beginnen met de echte oorzaken te vinden
- welke stappen kun je nemen met de kennis van die echte oorzaken.

Bedankt voor je 'goed bedoelde' advies, ik gebruik een OS alleen als vehikel om applicaties te kunnen draaien, niet om het evangelie te verkondigen.

En ja ook diverse Linux distributies hebben hun patch foutjes gehad waarop een reparatie patch weer noodzakelijk was.

Hou onderhand eens op met dat OS gezeik hier, 'we' zullen het hier nooit eens worden dus diskwalificeer jezelf niet, gedraag je volwassen en respecteer elkaars mening.

Met dat verschil dat als je echt even gaat inventariseren je alweer snel tot de conclusie kan komen dat het qua aantal en frequentie heel erg meevalt.
Neem je ook even mee dat dit geldt voor het laaste MacOS dat net (!) uit is en waar je op zich helemaal niet op hoeft te zitten en waar ook de grote meerderheid van de gebruikers niet op zit,
dan valt het eigenlijk reuze mee.

Elk nieuw Os kent vlak na introductie allerhande bugs.
Bij Apple valt dat nu wat meer op omdat ze zo ontzettend vaak met een nieuwe versie komen.
Maar je kan ook rustig nog een jaar op de versie ervoor of die daarvoor zitten, wordt gewoon netjes ondersteund en daar zijn de bugs alweer wat meer uit.


Ehh; MacOs ìs gratis!

De hardware niet en dat geldt ook voor pc hardware.
Kwalitatief hoogwaardiger hardware ontloopt elkaar ook weer niet zoveel, dat komt meestal overal ruim boven de duizend euro uit.

Die Mac is inderdaad vaak nog een tikkie duurder, maar daar heb je dan nog wel wat extra voordeel van, je kan er maar liefst drie Os-en op draaien, MacOS, Windows èn Linux.
Dat kan jou pc bakkie met moeite, en als het je lukt, dan met veel moeite.
Reken je de factor tijd even mee, dan is dat lelijke pc bakkie minstens net zo duur als menig duur beschouwde Mac.

En komen we uit bij een waarheid als een koe : goedkoop is duurkoop.
Maar je zal mij niet horen beweren dat duurkoop bestkoop is.

Gratis? Dan wil ik het wel eens proberen! Waar kan ik de installatiefiles op de Apple site vinden? Want zo gratis is het toch - als je "gratis" noemt bedoel je dat iedereen het kan installeren? Of bedoel je met "gratis" : je krijgt het er gratis bij - de koppelverkoop-gratis?

Hou toch op man - al die software is hetzelfde. Dezelfde mensen die het maken, dezelfde fouten, en steeds meer dezelfde eindeloze spaghetti om 't aan de praat te krijgen.

Niets is gratis en MacOS ook niet.

Sinds het overlijden van Steve Jobs RIP, is het een gigantische puinhoop bij Apple.
De CEO's roven de kas leeg, de concurrentie is hun al voorbij en het enige wat men nog heeft is de Iphone.
Ik heb niets tegen Apple, maar de huidige stand van zaken is slecht.
Bill Gates heeft een paar weken gelden nog een intervieuw gegeven en maakte zich enorme zorgen omtrent Apple.
Gezien in !997, Microsoft alleen al 150 Miljoen in Apple heeft gestoken om het van de ondergang te redden en tevens hun know how ter beschikking hbbben gesteld. zonder enige zeggenschap en de finacielele injectie hoefte ze niet terug.

Nog steeds is Microsft groot aandeelhouder van Apple en gezien Steve en Bill vrienden waren geworden, wil Gates Microsoft zich laten bemoeien met Apple , anders loopt het mis.

Wij zien hetzelf in het bedrijfs leven. Klanten van ons uit de uitgevers of reclame wereld was vroeger altijd IOS, nu allemaal overgestapt naar Microsft Surface Studio...dat is een klap..

Mac OS X is al 4 jaar gratis!
https://www.theverge.com/2013/10/22/4865858/os-x-10-9-mavericks-release-date-price

Rant zonder bron

Rant zonder bron

Ja dat heb je wel getuige veel van je reacties de laatste twee maanden over Apple.

Onzin zonder bron

Bill gate sis de concurrent en niet bepaald neutraal.

Framing.

Oude koek van 20 jaar !!! geleden, en doe je huiswerk beter.
Zonder Steve Jobs had Apple het niet gered, met geld alleen redt je het niet en zonder aanmerkelijk belang stop je ergens geen geld in. Apple was geen filantropisch project.
eea zag er meer uit als een deal.
https://www.wired.com/2009/08/dayintech_0806/

Bill gates is een zakenman, heeft apple ooit op een belangrijk moment slim snel afgetroeft, een hoop gekopieerd in plaats van verzonnen en dat is hem nooit helemaal in dank afgenomen.
Dat kan je ondanks officiele openbare luchtigheid in het onderstaande interview goed zien, als je het wil/kan zien.
https://www.youtube.com/watch?v=wvhW8cp15tk

Onzin.

Kletskoek, het lijkt erop dat je niet eens het verschil weet tussen iOS en MacOS / Mac Os X.

De hateflames jegens Apple zijn na jaren weer helemaal terug van weggeweest.
Mede dankij de aanhoudend inspanningen van mister mainframing die op geen enkele manier ook maar wordt gemodereerd.
Ziedaar het resultaat van het tolereren ervan, steeds meer inhakers.

Misschien kan dit forum beter omgedoopt worden naar windows-pc-security.nl dan weet iedereen ten minste hoe de vlag erbij hangt.

Mooi stukje - maar daarin wordt beschreven hoe een update naar OS-X 10.9 gratis is. Da's mooi - eigenlijk hetzelfde als roepen dat Windows 10 gratis is mits je maar op een legale versie van Windows 7 zit.

Nee, "gratis" werd er gezegd! Ik heb nog wel ergens een niet al te oude laptop en zou daar graag eens OS-X gratis op willen proberen. Een redelijk nieuwe PC kan eventueel ook.

Kom maar door met die installatiefiles...

De installatie files zijn zo te downloaden via de App store. Legaal is het niet.