Apple fixt macOS-bug die met onjuist wachtwoord toegang gaf tot App Store-opties

Apple heeft een bug gefikst in de nieuwste bèta van macOS High Sierra. Met de bug konden gebruikers een willekeurig wachtwoord invullen om toegang te krijgen tot de App Store-voorkeuren van gebruikers. De bug heeft niet veel impact.

Gebruikers die de nieuwste stabiele versie van High Sierra draaien, 10.13.2, zijn vatbaar voor het lek, schrijft MacRumors op basis van een OpenRadar-melding. Door de bug is het mogelijk om elk willekeurig wachtwoord in te vullen om toegang te krijgen tot App Store-voorkeuren.

De impact van de bug is beperkt, omdat het wijzigen van de meeste opties daarna nog het juiste wachtwoord vereisen. Het is wel mogelijk om voorkeuren op het gebied van automatische updates van apps te veranderen.

Apple heeft de bug gefikst in de derde bèta van de volgende versie van High Sierra. Het is onbekend wanneer de stabiele versie daarvan uitkomt. Het is niet de eerste wachtwoord-bug die naar buiten komt in High Sierra. Zo gaf bij een apfs-volume het besturingssysteem het volledige wachtwoord als hint en bleek de wachtwoordprompt te omzeilen door als gebruiker 'root' in te vullen zonder wachtwoord. Apple heeft beide bugs al verholpen.

Door Arnoud Wokke

Redacteur Tweakers

Feedback • 10-01-2018 19:10
43 • submitter: nickurt

10-01-2018 • 19:10

43

Submitter: nickurt

Lees meer

macOS High Sierra

geen prijs bekend

'Previewfunctie van macOS kan thumbnails van versleutelde bestanden lekken'
'Previewfunctie van macOS kan thumbnails van versleutelde bestanden lekken' Nieuws van 18 juni 2018
MacOS-kernel blijkt vatbaar voor aanval via exploit
MacOS-kernel blijkt vatbaar voor aanval via exploit Nieuws van 1 januari 2018
Apple brengt update uit die 'root'-bug in macOS High Sierra fikst
Apple brengt update uit die 'root'-bug in macOS High Sierra fikst Nieuws van 29 november 2017
Apple werkt aan update voor bug die roottoegang geeft tot macOS High Sierra
Apple werkt aan update voor bug die roottoegang geeft tot macOS High Sierra Nieuws van 29 november 2017
Wachtwoordprompt macOS is te omzeilen met eenvoudige truc - update
Wachtwoordprompt macOS is te omzeilen met eenvoudige truc - update Nieuws van 28 november 2017
MacOS-bug toont wachtwoord in plaats van hint bij apfs-volume - update
MacOS-bug toont wachtwoord in plaats van hint bij apfs-volume - update Nieuws van 5 oktober 2017
Onderzoekers waarschuwen voor missende efi-updates bij sommige macOS-systemen
Onderzoekers waarschuwen voor missende efi-updates bij sommige macOS-systemen Nieuws van 29 september 2017
Onderzoeker waarschuwt voor toegang tot macOS-keychain door bepaalde apps
Onderzoeker waarschuwt voor toegang tot macOS-keychain door bepaalde apps Nieuws van 26 september 2017
Meer producten en artikelen
Besturingssystemen Netwerk en systeembeheer Apple

Reacties (43)

-Moderatie-faq
43
38
20
2
0
9
Wijzig sortering
OkselFris 10 januari 2018 19:56
Je hebt dan alleen toegang tot de systeem voorkeuren van de app store instellingen en niet de App store zelf. Dus iemand kan dan wijzigen hoe je app updates wilt downloaden en of hij automatisch moet zoeken naar updates etc.
Dat is wel heel beperkte impact. Slordig.. maar het levert geen echt risico.

[Reactie gewijzigd door OkselFris op 27 juli 2024 19:32]

Keypunchie
@OkselFris10 januari 2018 20:17
Helemaal omdat het alleen werkt als je al met een admin-account ingelogd bent. Met een non-admin-account doet hij het niet*. Hierover uitgebreid publiceren is wat spijkers op laag water zoeken.

Ga ik straks in het najaar als eerste naar OS X 10.14 updaten? Nope, dat vertrouwen is Apple kwijt. Ze moeten eerst flink wat te verbeteren op QA-gebied. Echter, deze bug is daar maar een zeer mager voorbeeld van. Hij is zelfs al gefixt in de beta's.

En aan de andere kant van de medaille, Apple heeft ijzersterk gereageerd op Meltdown/Spectre.

[edit]
*De code-fout lijkt iets te zijn dat er eerst rechten van het account worden gecheckt, voordat de user-validatie plaatsvindt. Dus.
1. Doe pop-up en vraag om user/pass.
2. Check of dit account juiste rechten heeft.
3. Check of user/password valide zijn
2 en 3 moeten natuurlijk omgekeerd zijn.

Kortom wel een fout, maar met marginale gevolgen. De gebruikte account moet wel gerechtigd zijn.

[Reactie gewijzigd door Keypunchie op 27 juli 2024 19:32]

tvtech @Keypunchie11 januari 2018 07:16
https://discussions.apple.com/thread/8191222

Deze is een stuk lastiger en levert onwerkbare situaties op. Nog steeds niet opgelost.
PTR @OkselFris10 januari 2018 23:30
Uuhm....toch iets ernstiger?

https://twitter.com/lintile/status/951192859272761345
iAR @OkselFris11 januari 2018 08:43
Goede aanvulling. Ik vind alleen slordig wel een beetje een understatement. Met de rits issues die er al waren met de software (en die ook al weer opgelost zijn) is dit wel een deuk in het imago van Apple.
n0sTRa 10 januari 2018 19:20
Weinig nieuwe functies in High Sierra maar stabieler en veiliger...
Verwijderd 10 januari 2018 19:49
Doet mij denken aan Windows 95 waarbij je door op cancel te klikken op het inlogscherm toch kon inloggen.
Na al die jaren jat Apple eindelijk feature's van Microsoft :+ :+
Sinnergy 10 januari 2018 19:13
Ik vraag me echt af hoe je als dev zo'n fout(en) maakt :s
Blokker_1999
@Sinnergy10 januari 2018 19:15
Een fout is snel gemaakt. En deze keer hebben ze hem tijdens de beta ontdekt. Al is het natuurlijk minder positief dat er weeral een bug door de QA is gekomen die het mogelijk maakt om acties uit te voeren zonder het juiste wachtwoord.
Sinnergy @Blokker_199910 januari 2018 19:44
"Gebruikers die de nieuwste stabiele versie van High Sierra draaien, 10.13.2, zijn vatbaar voor het lek, schrijft MacRumors op basis van een OpenRadar-melding."

Ze hebben het gefixt in de nieuwe beta bedoel je :)
DigitalExorcist 10 januari 2018 22:25
Wauw, ik wacht écht op het moment dat van élke CVE in Windows een compleet artikel geschreven wordt, en welke Insider build van Windows die specifieke CVE gaat oplossen! (Not....)
Ruw ER 10 januari 2018 19:21
Wordt er zo veel over bericht, of is apple echt haar software flink aan het verkloten de laatste tijd? Iedere week is er zowat wel ergens een update die een beveiligingsissue, of vervelende bug op moet lossen. Telefoons die vastlopen om niks, door root oid in te typen in laptops komen, de complete homekit software was schijnbaar lek. En dan ee iphone 10 software die gewoonweg niet af is, zelf toegegeven door apple. Ik krijg zo onderhand het idee dat ze er erg de kantjes van af lopen.

Kwam vandaag ook nog een zoveelste achterlijke inconsequente softwarefout tegen op mijn ipad:
Als ik 'shift' en een nummer toets, dan enter druk voor de volgende regel, dan blijft de shift functie aan, maar als je 2 cijfers toetst, dan enter, dan springt shift eraf. Echt hoe krijgen ze het voor elkaar.
Verwijderd @Ruw ER10 januari 2018 21:29
Dat is lastig te zeggen. Wat wel een gegeven is dat ieder niet-triviaal software systeem duizenden bugs bevat. Statistieken verschillen maar er is al eens onderzocht dat iedere 30 regels code er een bug is.

Verreweg het merendeel van die bugs hebben geen user impact en velen zullen mogelijk nooit ontdekt worden, maar dat is dus hoe buggy software is, ongeacht de leverancier. Zie het als een natuurkundig feit.

Een niet-triviaal systeem heeft dus nooit weinig of geen bugs, het barst er altijd van. Software testers meten daarom vaak niet in het aantal bugs, maar in de tijd die het duurt om de volgende bug te vinden. Bug-vrij of weinig bugs bestaat gewoon niet.

Bovenstaande is al decennia-lang het geval maar er zijn wel wat nieuwe factoren die meespelen:
- Internet als relatief recent fenomeen
- schaalgrootte, miljard+ users wat voorheen ongekend was
- hoeveel persoonlijke data er op je device staat
- cybercrime welke steeds geavanceerder wordt
- toename in complexiteit waardoor testen maar lastig mee kan schalen
- media aandacht

In al deze brei is het lastig te zeggen of Apple het slechter doet of niet, dat is gokken en speculeren. Ikzelf heb ook de indruk dat het iets minder goed is dan voorheen, maar neem daarbij wel de bovenstaande factoren in acht. Het is ook simpelweg veel moeilijker dan voorheen. Geen excuus, wel een uitleg.

Bottom line is voor mij dit: bugs zijn er, heel erg veel, in ieder systeem. Dat ontkennen of uitroeien kan niet, daarom is het belangrijkste hoe men er mee omgaat.
batjes
@Verwijderd11 januari 2018 03:14
Dat is lastig te zeggen. Wat wel een gegeven is dat ieder niet-triviaal software systeem duizenden bugs bevat. Statistieken verschillen maar er is al eens onderzocht dat iedere 30 regels code er een bug is.
elke 15 regels is het industrie gemiddelde.

Partijen zoals MS, Apple en Google hangen rond de ~1 fout per 1000 regels, MS rond 0,5 fout per 1000 regels zviw, maar die zaten een paar decenium terug ook boven het gemiddelde. Partijen zoals de NASA of ESA schrijven 100duizenden regels code zonder fouten. NASA schrijft bv rustig 500.000 regels foutloos.
Verwijderd @Ruw ER10 januari 2018 21:50
Ik heb niet de indruk dat je weet waarover dit probleem gaat:
- ten eerste moet je admin toegang hebben;
- ten tweede staat er per default geen paswoord op App Store preferences...

Dus dit is een vrij onbetekenende bug. Zoals elke bug had hij niet moeten gebeuren, maar bij andere software komen dergelijke bugs alleen in obscure forums aan bod. Bij Apple is het blijkbaar belangrijk genoeg voor headline news: er is een bug gevonden in Apple software! Waar is de voorpagina ?!

Overigens, uiteraard was de iPhone 10 software "af". Het probleem was eerder dat de iPhone X niet af was, toen de software af was 8)7
Ruw ER @Verwijderd10 januari 2018 22:49
Het zijn gewoon de vele berichten die ik zie over bugs en security flaws bij apple producten de laatste tijd, en de grote hoeveelheid updates die mijn ipad krijgt.
Dat valt op.
Dat het gepatched wordt is natuurlijk positief, maar wekkers die niet af gaan, en inloggen op een mac met username root oid is natuurlijk bizar en op zijn zachts gezegd slordig te noemen.

Over de iphone x, veel mensen klagen over de manier hoe het quick toggle scherm werkt, vooral de animatie en de plek. Ook wordt er geklaagd over de manier om reachability te gebruiken. Apple heeft eing vorig jaar eens gezegd dat ze nog veel willen verbeteren aan de software, wat bij mij overkomt als, we hebben de nieuwe manier van besturen gerushed en gaan het nog verbeteren.
A4553 @Ruw ER10 januari 2018 19:26
Heeft denk ik weinig met verkloten te maken. Eerder met het feit dat software (voor zowel pc’s als smartphones) steeds complexer wordt waardoor er een grotere kans is dat er fouten in sluipen.
jeroenathome @Ruw ER10 januari 2018 19:27
Doordat Apple een stuk populairder is geworden is er ook meer aandacht voor hun producten. Dat houdt ook in dat er ook vaker en beter naar mogelijke bugs/ lekken wordt gezocht.

Tevens is alles tegenwoordig veel complexer geworden door alle mogelijkheden. De kans dat er dan iets misgaat is dan ook veel groter.

Ik vind het veel belangrijker dat ze er snel iets aan doen. Ook al is deze bug niet echt een groot gevaar.
Twixie @jeroenathome10 januari 2018 19:45
Apple is al ettelijke jaren populair, en vandaag zeker niet populairder dan pakweg 3 jaar geleden. Toen waren er echter nauwelijks issues, of was de impact ervan echt wel minimaal.
Tegenwoordig loop ik zelf ook echt wel vaak tegen duidelijke bugs op mijn iPad Mini 4, dit terwijl jaren geleden IOS nagenoeg het meest stabiele en afgewerke OS ever leek. Ik durf zelfs te stellen dat ik met Android op mijn OnePlus 3 telefoon minder issues heb dan met IOS 11.
MedionAkoya @Twixie10 januari 2018 20:01
Ondersteunende bron: verkoop van Mac is redelijk stabiel. Wel afgelopen 10 jaar verdubbelt.
nieuws: Apples leveringen van iPhones, iPads en Macs stijgen

[Reactie gewijzigd door MedionAkoya op 27 juli 2024 19:32]

Verwijderd @Twixie10 januari 2018 20:41
Ik heb daarentegen de indruk dat Apple’s software (MacOS, iOS) wel degelijk duidelijk stabieler is dan 4-5 jaar geleden. De snelheid waarmee problemen worden gefixed is ook fix toegenomen. Voor Meltdown bvb hadden ze reeds een fix in december...
Het aantal “high profile” bugs lijkt wel hoger. Maar eerlijk gezegd, geen enkele daarvan heeft me last bezorgd. Ook deze: je moet administrator access hebben, en pas dan kan je de App Store preferences wijzigen zonder paswoord: what’s the deal??!
Verwijderd @Flake10 januari 2018 20:50
25% revenue groei gerapporteerd in Mac sales in de meest recente kwartaalcijfers. Niet slecht lijkt me, in een dalende PC-markt?

https://www.google.be/amp...p-10-percent-q4-2017/amp/

Het woord “fanboypraat” verhult zoals vaker een gebrek aan feitenkennis.

[Reactie gewijzigd door Verwijderd op 27 juli 2024 19:32]

mjz2cool @Flake11 januari 2018 07:49
wat een anti-fanboypraat is dit. het aantal bugs groeit zelf niet, maar wel het aantal bugs wat op dit soort sites voorbij komt. tot nu toe heb ik geen last van al die bugs gehad, maar op mn windows pc kom ik regelmatig bugs tegen zonder dat die voorbij komen op bijvoorbeeld tweakers. ben zelf trouwens geen fanboy, ik deel alleen mn ervaring

[Reactie gewijzigd door mjz2cool op 27 juli 2024 19:32]

Xerxes249 @Ruw ER10 januari 2018 19:58
Ik vraag me dat ook wel eens af, ik denk dat Apple het probleem is dat bijna alles wat ze doen een clickbait artikel oplevert.

Ik heb bijv niet gehoord over:
https://www.cvedetails.com/cve/CVE-2017-11847/ wat praktisch Apples rootpw flaw lijkt te zijn

of
https://www.cvedetails.com/cve/CVE-2017-14176/
https://www.cvedetails.com/cve/CVE-2017-11935/
https://www.cvedetails.com/cve/CVE-2017-11936/

Niet dat countervoorbeelden noemen iets betekent ofzo maar toch.

Sws is gevoelsmatig iOS 11 troep vergeleken met die buttersmooth iOS 10/9/8/7/6/5/4/-updates
Verwijderd @Xerxes24910 januari 2018 20:45
In mijn ervaring is iOS 11 beter dan 10 dan 9 dan 8 dan 7 dan 6... iOS 11 heeft misschien een aantal high profile bugs gehad, maar voor mij was het 100% smooth op alle apparaten vanaf 11.0.0
Xerxes249 @Verwijderd11 januari 2018 00:29
Dat kan natuurlijk, ikzelf heb dat echter niet, zowel mn iPhone als iPad hadden toch zeker een hoop issues tot ver na de beta. Momenteel is het prima acceptabel als in gaat bijna niet meer fout.
EasyBoarder @Dancing_Animal11 januari 2018 13:05
Ach, stel je niet aan..
Een traag maar werkend apparaat is beter dan continu spontane uitvallen. Zo heeft Apple geredeneerd. Het is een simpele afweging geweest om mensen ook in slechtere (hardware) omstandigheden te bedienen.

En om je volgende vraag te beantwoorden, nee. Ik ben geen fanboy.
Dancing_Animal @EasyBoarder11 januari 2018 19:57
Ik stel me niet aan, net als vele honderduizenden andere iPhone en MacBook gebruikers.
Leg mij dan maar eens uit waarom iPhones en Macbooks ook aan de voeding trager werken met een oude batterij. Wat fijn dat Apple mij zo graag helpt. Aan een nieuw device.
En ja, ik heb dus spullen van Apple. En inderdaad, je klinkt als een fanboy.
EasyBoarder @Dancing_Animal12 januari 2018 10:45
Zoals je aan mijn profiel afbeelding kunt zien valt het fanboy-ism wel mee. Ik heb een macbook en een android telefoon.
Ik wil simpelweg feiten verzamelen en zo objectief mogelijk een mening vormen. Ik begrijp waarom Apple deze beslissing heeft gemaakt. Wat ik echter heel slecht vindt, is dat apparaten, zoals je zegt, aan de netvoeding ook traag werken en dat Apple niet transparant is geweest over deze beslissing. Als ze wel eerlijk waren geweest hadden gebruikers een eigen keuze kunnen maken om de producten wel of niet te kopen.

sorry van mijn "aanstel" opmerking.
Ik wordt tegenwoordig een beetje gek van mensen die een bedrijf (niet specifiek Apple) zo plat beoordelen. Dit was niet objectief van me.
Dancing_Animal @EasyBoarder12 januari 2018 12:29
Is goed! :)
Loggedinasroot @Xerxes24910 januari 2018 21:43
Heb je een voorbeeld van hoe je die eerste vulnerability kan exploiten?
Het lijkt me sterk dat dit net zo makkelijk is als bij de Apple root login.
Xerxes249 @Loggedinasroot11 januari 2018 00:31
Googlen:
https://github.com/0x09AL/CVE-2017-11882-metasploit

note: niet geprobeered heb geen windows pc hiero.
Loggedinasroot @Xerxes24911 januari 2018 00:48
Dat gaat over CVE 2017-11882, waar de poc metasploit gebruikt.
Ik bedoelde 11847. Het lijkt me erg sterk dat je door middel van het inlogscherm zonder tools zomaar als admin kan inloggen op een windows systeem.
Xerxes249 @Loggedinasroot11 januari 2018 09:17
Sorry ik was verzijlt geraakt in 11882 vanwege deze:
[url]To exploit the vulnerability, an attacker needs to trick victims into opening a specially crafted malicious file with an affected version of Microsoft Office or Microsoft WordPad software. The attacker can gain full control on the target system by chaining the vulnerability with Windows Kernel privilege escalation exploits like CVE-2017-11847.[/url]

Een file openen is ook best wel triviaal
BCC @Ruw ER10 januari 2018 20:21
https://www.theverge.com/...focus-mobile-features-ios - Of tewel er komt binnenkort een nieuw OS voor zowel desktop als mobile en daardoor krijgt MacOsx op dit moment te weinig aandacht, wat je aan dit soort dingen merkt.
DigitalExorcist @Ruw ER11 januari 2018 09:55
Nou, als we van élke CVE in Windows ook een compleet artikel gaan maken op Tweakers.net kunnen ze wel 30 FTE inhuren .....

Ik denk, omdat het Apple is, dat er véél meer aandacht per bugje wordt besteed dan ooit bij Windows het geval is. Maar goed. Dat zal wel weer onterecht gevonden worden.
Keypunchie
@SOTD10 januari 2018 21:27
Heb je volledige restore geprobeerd;
https://support.apple.com/en-us/HT201252

Dus niet alleen backup terugzetten , maar full restore.

Is bloedirritant, want je raakt je instellingen kwijt (hierna kun je wel je back-up terugzetten, dus je behoudt je data), maar het lost veel rare issues op.

Ja, het is te jaren-90 Microsoft voor woorden... maar ook dat werkte wel.

Zorg ook wel dat je een goeie backup van je backup hebt :-/ Het is geen procedure zonder risico.

[Reactie gewijzigd door Keypunchie op 27 juli 2024 19:32]

SOTD @Keypunchie11 januari 2018 08:27
Denk niet dat dit op te lossen is met schone herinstallatie en heel veel meer mensen hebben er last van.

Zie: https://www.iculture.nl/nieuws/ios-11-2-2-beschikbaar/

quote: "Dat mag ook wel, want er spelen nog best wat bugs in iOS 11, waaronder een leeg iPhone-toegangsscherm."

[Reactie gewijzigd door SOTD op 27 juli 2024 19:32]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq