Nieuw beveiligingslek in App Store treft macOS High Sierra

Door: Raymon - 22 reacties

Nieuw jaar, nieuw beveiligingslek in macOS 10.13.2 High Sierra. Het is gelukkig niet zo’n ernstig probleem als de root-bug die eind vorig jaar ontdekt werd, maar nog steeds opvallend slordig. Het blijkt mogelijk om zonder wachtwoord de instellingen van de App Store te wijzigen.

Wachtwoord niet gecontroleerd bij wijzigingen

Bij het openen van de instellingen voor de App Store in systeemvoorkeuren, blijk je ieder wachtwoord in te kunnen vullen om het paneel te ontgrendelen. Er lijkt geen controle van het wachtwoord plaats te vinden. De bug werd ontdekt door een gebruiker van Open Radar en is al bij Apple bekend.

Je kunt de bug heel makkelijk reproduceren door naar SysteemvoorkeurenApp Store te gaan en het paneel onderaan te ontgrendelen met het slot. Je kunt vervolgens ieder wachtwoord invullen en dat zal ook geaccepteerd worden. Het werkt overigens alleen als je als administrator ingelogd bent.

macos high sierra bug app store
Klik/tap voor groter.

Opgelost in macOS High Sierra 10.13.3

OMT heeft de bug kunnen verifiëren op macOS 10.13.2 High Sierra. In de vierde beta van macOS 10.13.3 lijkt het lek gedicht. Deze update komt naar verwachting nog deze maand uit, dus Macs zijn niet al te lang kwetsbaar. macOS 10.12.6 Sierra is niet kwetsbaar.

De Mac heeft de afgelopen weken vaak te maken gehad met beveiligingsproblemen. In november werd een ernstig lek ontdekt waardoor op iedere Mac met de root-gebruiker -die alles mag- ingelogd kon worden. Daarvoor was er ook een gênante bug die het wachtwoord van versleutelde harde schijven als hint toonde. Tot slot was er recent ook een beveiligingsprobleem met HomeKit, al had Apple dat binnen één dag gepatcht.

Reacties

22 reacties
  • Profielfoto
    Nosferatu

    Wat verrassend, weer een bug in OSX … prutsers

  • Profielfoto
    Not_a_Guru_yet

    @raymon, welke beta versie van 10.13.3?

  • Profielfoto
    Applenerd

    Draai nog steeds op oude versie mac os sierra
    Geen problemen.

  • Profielfoto
    Shmoo

    Goh wakker? 19:00 je eerst post plaatsen heeft niets meer met verslapen te maken. ☺️

  • Profielfoto
    OSC4R

    Ik draai hier 10.12.16 en de bug is hier niet reproduceerbaar.

  • Profielfoto
    Raymon

    Goh wakker? 19:00 je eerst post plaatsen heeft niets meer met verslapen te maken. ☺️

    Valt het op? De hele dag met development zitten bugfiksen in nieuwe OMT:razz:

    @raymon, welke beta versie van 10.13.3?

    Ik heb met beta 4 getest. Zal dat nog in het artikel vermelden.

    Ik draai hier 10.12.16 en de bug is hier niet reproduceerbaar.

    Klopt, die is niet kwetsbaar. Zal ook dat nog in het artikel opnemen.

  • Profielfoto
    Mac Hammer Fan

    Alweer een slecht punt voor Apple.;!

  • Profielfoto
    koen

    Er is een nieuwe 10.3.2 supplemental update beschikbaar voor High Sierra.

  • Profielfoto
    Raymon

    Er is een nieuwe 10.3.2 supplemental update beschikbaar voor High Sierra.

    Jup: Sinds gisteren. Zie dit artikel

  • Profielfoto
    koen

    Ah, gemist. Bedankt.

  • Profielfoto
    queenfan

    Ik blijf gewoon op Mac OSX Tiger, lekker retro.

  • Profielfoto
    Soulshaker

    Ik blijf gewoon op Mac OSX Tiger, lekker retro.

    Inderdaad! Daar heb je dat niet , waar je om de haverklap beveiligingsupdates moet installeren , die het weer allemaal moeten fixen:razz:

  • Profielfoto
    pannekoek

    LekOs.

  • Profielfoto
    DBLCreations

    @queenfan:

    Jammer dat OSX Snow leopard niet meer met alles werkt, anders zou ik rustig daar op blijven, ik was daar erg tevreden over:-)

  • Profielfoto
    Shmoo

    Mensen kunnen hopelijk toch wel een heel klein beetje nadenken in het feit dat we nu in de afgelopen weken/maanden al een X-aantal serieuze veiligheidsproblemen hebben gezien – en dat dit in het verleden gewoon net zo erg was, misschien nog wel veel erger maar dat niemand zo toen ontdekt heeft omdat de ‘banen’ op dat moment nog niet bestonden om deze op te sporen en iedereen vooral voor zichzelf bezig was en alle broncode geheim was.

    Sterker nog, dit opsporen + melden van problemen staat echt nog in de kinderschoenen omdat er nog niet zoveel jongens en meisjes mee bezig zijn. Er zitten waarschijnlijk op dit moment nog veel meer problemen in ons systeem die pas over een jaar of zo naar buiten komen omdat er steeds meer mensen mogen gaan zoeken en samenwerken in hun baas z’n tijd.

    Stop svp met het adviseren of pronken als een pauw dat je op oudere software werkt. Zoiets is echt niet slim of interessant. Dat jij persoonlijk dit gevaar wilt lopen prima, maar ga geen andere mensen motiveren om oude unsupported software te gaan gebruiken.

    Over 3 of 4 jaar is zorgen dat je software up to date is en blijft net zo belangrijk als een helm en motorkleding dragen wanneer je gaat touren op je motor.

  • Profielfoto
    iAmRenzo

    Ik ben benieuwd hoelang we de andere kant van de medaille nog krijgen te zien. Het is net alsof Tim Cook wel van een lekker potje bdsm houdt… de software is overal zo lek als een mandje.

  • Profielfoto
    Ome Kor

    @iAmRenzo Overdrijven is ook een vak, dit doet zich alleen voor als je als administrator ingelogd bent.

    Een besturingssysteem is een complex stuk software en er wordt door mensen aan gewerkt, dus fouten kunnen er altijd gemaakt worden. Daarmee wil ik dit soort fouten niet goedpraten, want het valt in de categorie dit mag niet gebeuren. Maar ik voel me veilig genoeg met macOS, zolang je maar zorgt, zoals Shmoo al zei, dat je up to date bent en software gebruikt dat ondersteund en gepatched wordt.

    Het enige dat ik mis van de oudere OS X versie is het uiterlijk, ik vind de huidige versies saai en grijs.

  • Profielfoto
    Razend

    Ik snap dat echt niet, al die OMT lezers (e.v.a) die maar blijven mekkeren over de door hen gebruikte software.
    Software is mensenwerk en inmiddels dermate complex dat het absoluut onmogelijk is om iedere denkbare (en ondenkbare) ‘flaw’ eruit te testen voordat de boel uitgebracht wordt.
    Als jullie werkelijk zó ontevreden zijn over de Mac software, staat het jullie vrij om te switchen naar een ander OS. Daar hebben ze echt nooooooit softwareproblemen;-)

  • Profielfoto
    MoNdO GeNeRaToR

    LekOs.

    panneNkoek;-)

  • Profielfoto
    csteelooper

    Mensen kunnen hopelijk toch wel (…)

    +1!

  • Profielfoto
    DBLCreations

    Mensen kunnen hopelijk toch wel een heel klein beetje nadenken in het feit dat we nu in de afgelopen weken/maanden al een X-aantal serieuze veiligheidsproblemen hebben gezien – en dat dit in het verleden gewoon net zo erg was, misschien nog wel veel erger maar dat niemand zo toen ontdekt heeft omdat de ‘banen’ op dat moment nog niet bestonden om deze op te sporen en iedereen vooral voor zichzelf bezig was en alle broncode geheim was.

    Sterker nog, dit opsporen + melden van problemen staat echt nog in de kinderschoenen omdat er nog niet zoveel jongens en meisjes mee bezig zijn. Er zitten waarschijnlijk op dit moment nog veel meer problemen in ons systeem die pas over een jaar of zo naar buiten komen omdat er steeds meer mensen mogen gaan zoeken en samenwerken in hun baas z’n tijd.

    Stop svp met het adviseren of pronken als een pauw dat je op oudere software werkt. Zoiets is echt niet slim of interessant. Dat jij persoonlijk dit gevaar wilt lopen prima, maar ga geen andere mensen motiveren om oude unsupported software te gaan gebruiken.

    Over 3 of 4 jaar is zorgen dat je software up to date is en blijft net zo belangrijk als een helm en motorkleding dragen wanneer je gaat touren op je motor.

    Zeer goed gezegd van jou Shmoo’tje:-D

  • Profielfoto
    Leonard1948

    Ik heb de update 10.13.3 al draaien maar het slotje gaat gewoon open met 12345