MacOS High Sierra - root access ohne Passwort

[TSMusik]

Stimmt doch: Die wurden halt jetzt erst durch die Medien darauf aufmerksam gemacht, auf ihrem alljährlichen Trip durch Kalifornien, auf der Suche nach einem neuen macOS Namen.

 

[xentric]

A week ago the infrastructure staff at the company I work for stumbled on the issue while trying to help one of my colleagues recover access to his local admin account. The staff noticed the issue and used the flaw to recover my colleague’s account. On Nov 23, the staff members informed Apple about it. They also searched online and saw the issue mentioned in a few places already, even in Apple Developer Forum from Nov 13. It seemed like the issue had been revealed, but Apple had not noticed yet.

Soviel zum Thema 24 Stunden, selbst wenn Apple das (Entwickler-)Forum nicht aktiv liest.

 

[Olivetti]

trotzdem, die zuständigen nordkoreanischen security engineers haben es erst gestern erfahren.

ja, so funktioniert halt die politik, auch in den firmen.

 

[coolboys]

Boah, wie schnell Apple reagiert hat. Hoffentlich ist es jetzt wirklich sicher!?

Gruß coolboys

 

[hevoah]

So ist das eben.
Zu Tode betrübt und himmelhoch jauchzend

 

[Olivetti]

https://objective-see.com/blog/blog_0x24.html

 

[McBuk]

The gods told me to relax, didn't they?

 

[Veritas]

Der einzige Punkt, den ich dabei nicht verstehe: Was hat High Sierra, was Sierra nicht hat, und das so wichtig ist, dass es rechtfertigt, dass man sich ein unfertiges System installiert? Eigentlich müsste doch jeder, der so viel von der Sache versteht, dass er das Update installieren kann, wissen, dass man mindestens ein halbes Jahr warten muss, bis die Banane gereift ist. Ich will damit übrigens nicht sagen, dass die Leute selbst schuld sind, schuld sind die, die es verbockt haben, das halbfertige Zeug auf den Markt werfen und einen dann täglich damit nerven, dass man es endlich installieren soll. Trotzdem finde ich es seltsam. Wenn im Winter der See nebenan zufriert, geht doch auch in den ersten Tagen keiner aufs Eis. Und da kann es immerhin sein, dass es trägt, was man in diesem Falle doch ausschließen kann. Ich bin verwirrt.

Da reicht der Neukauf eines Macs.

 

[Grettir]

Ja, das ist eine Unsitte bei Apple. Aber haben die alle gerade einen neuen Mac gekauft?

 

[Impcaligula]

Der einzige Punkt, den ich dabei nicht verstehe: Was hat High Sierra, was Sierra nicht hat, und das so wichtig ist, dass es rechtfertigt, dass man sich ein unfertiges System installiert? Eigentlich müsste doch jeder, der so viel von der Sache versteht, dass er das Update installieren kann, wissen, dass man mindestens ein halbes Jahr warten muss, bis die Banane gereift ist. Ich will damit übrigens nicht sagen, dass die Leute selbst schuld sind, schuld sind die, die es verbockt haben, das halbfertige Zeug auf den Markt werfen und einen dann täglich damit nerven, dass man es endlich installieren soll. Trotzdem finde ich es seltsam. Wenn im Winter der See nebenan zufriert, geht doch auch in den ersten Tagen keiner aufs Eis. Und da kann es immerhin sein, dass es trägt, was man in diesem Falle doch ausschließen kann. Ich bin verwirrt.

Wenn Du einen nagelneuen Mac kaufst - hast Du gar keine andere Möglichkeit. Und schon gar kein Downgrade.
Und als Entwickler - als Beispiel - musst Dir eh immer das Neuste macOS laden wenn Du darauf Software entwickelst.

 

[Impcaligula]

Naja, wahrscheinlich ein zwei Zeilenfix wenns ein Logikfehler war. Und das war selbst Apple klar das sowas heute gefixt werden muss.
Ich hoffe jemand macht einen bindiff vorher/nachher Hotfix von dem sicherstes System aller Zeiten. Und sowas im Jahr 2017, ..

...man könnte auch sagen, das Update war schon sozusagen in der Schublade, da man selbst das NSA Backdoor implementiert hatte und um Falle des Entdecken eben reagiert hat

 

[Olivetti]

heute kriegen sie's aber ab -> https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/

 

[djofly]

@djofly
sollte, hätte, könnte...

Bei uns in der IT haben wir solche Situationen, also schwerwiegende Sicherheitslücken im OS, der Datenbank oder sonstwo, für die es dann einen Patch gibt/geben muss, mehrmals im Jahr. Es ist ganz normal, dass so etwas mit eingeplant ist. Nichts ist fehlerfrei.
Darum sind ja viele Sachen mehrstufig abgesichert und ein solcher Bug, bei dem hier alle unnötig hysterisch die Wände hochgehen, ist daily Business und bereitet keine schlaflosen Nächte.

Aber wenn ich hier solche Sachen lese wie Rechner beim Kunden mit Gastzugang, mit nicht vergebenen root-Passwörtern, freigeschalteten Netzwerkdiensten usw. hat das halt nichts mit einer gesicherten Umgebung zu tun. Das man dann bei so einem Bug Angst bekommt, kann ich verstehen.

 

[Discovery]

Bei uns in der IT haben wir solche Situationen, also schwerwiegende Sicherheitslücken im OS, der Datenbank oder sonstwo, für die es dann einen Patch gibt/geben muss, mehrmals im Jahr. Es ist ganz normal, dass so etwas mit eingeplant ist. Nichts ist fehlerfrei.
Darum sind ja viele Sachen mehrstufig abgesichert und ein solcher Bug, bei dem hier alle unnötig hysterisch die Wände hochgehen, ist daily Business und bereitet keine schlaflosen Nächte.

Aber wenn ich hier solche Sachen lese wie Rechner beim Kunden mit Gastzugang, mit nicht vergebenen root-Passwörtern, freigeschalteten Netzwerkdiensten usw. hat das halt nichts mit einer gesicherten Umgebung zu tun. Das man dann bei so einem Bug Angst bekommt, kann ich verstehen.

Es geht eigentlich nicht darum. Es geht darum, dass eine Firma wie Apple 30 neue Emojis bewirbt, sich selber als TOP darstellt und solche Lücken im System hat. Hier werden Kunden, die viel Geld für den Müll zahlen, verarscht. Eigentlich müsste man erkennen, das, werden Emojis beworben, der Zenith der Firma überschritten ist. Schon lange. Aber wir wollen es nicht erkennen, weil es keine brauchbare Alternative gibt. Also lassen wir uns alle munter weiter voegeln, weil wir keine Wahl haben.

 

[pmau]

heute kriegen sie's aber ab -> https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/

Das ist in der Tat nicht lustig. Gerade bei Millionen Geräten.

 

[pk2061]

Eine IT-Firma (es muss gar nicht mal die sein, zu deren Verehrung man ständig Weihrauch zu brennen gewohnt ist) baut offensichtlichen Mist, und dafür verantwortlich werden die Nutzer gemacht, die damit geschädigt werden. Wie ist das möglich?

Die Nutzer sind in sofern Schuld, dass vieles einfach als gegeben hingenommen wird.
Wenn etwas nicht funktioniert ist das dann natürlich immer sofort die Schuld der IT-Firma. Auf die Idee, das der Fehler bei einem selbst liegen könnte, kommen viele Leute nicht.
Oder es wird sich über "Fehler" beschwert, dabei ist das Verhalten ganz klar im Handbuch beschrieben etc.
(Sowas liest man in letzter Zeit z.B. in Amazon-Rezensionen).

[...]Firma ein Auto rausbringt, bei dem während der Fahrt die Türen aufspringen, würde doch niemand sagen, die Nutzer sollen sich gefälligst intensiver mit dem Autobau auseinandersetzen, statt einfach loszufahren.

Warum nicht? Um bei deinem Beispiel zu bleiben:
(Wobei ich glaube dass auch viele Leute die Auto fahren auch keine Ahnung haben, wie so ein Auto grob funktioniert.)
Ich beklage, dass die Leute mit besagten Autos sich in Foren und auf Twitter stundenlang aufregen, dass die stundenlang bei 200KMH auf der Autobahn die Türen zuhalten müssen.
Dieselben Leute tönen, wie unverschämt das von den Automobilherstellern ist, und dass die Schadensersatzansprüche in Millionenhöhe stellen werden etc.
- Sachlich ist das völlig richtig, dass hier der Autobauer Mist gebaut hat, keine Frage.
ABER:
Warum fahren die Leute nicht einfach rechts ran und kleben die Tür erstmal zu und fahren dann langsam in die Werkstatt?
Oder Sie rufen den Pannendienst an?

Das ist es was ich beklage:
Nein ich muss nicht Autobau studieren um Auto fahren zu können. Es kann aber nicht schaden, wenn ich ungefähr weiß wie so ein Auto funktioniert.
Damit ich weiß was ich machen kann, wenn meine Tür während der Fahrt aufgeht.
- Ich erwarte nicht dass sich nur IT-Experten (wie man das auch immer definieren will) an einen PC sitzen - ich würde mir aber zumindest mehr Basiswissen von vielen Leuten wünschen.

Ich verstehe das nicht.
(Wie ich übrigens auch die Bereitschaft nicht verstehe, auch noch die krasseste Schlamperei der Softwarefirmen als objektiv unvermeidlich zu akzeptieren und begeistert zu klatschen, wenn diese Fehler dann nach Wochen oder Jahren behoben werden. Das sind wirklich seltsame Phänomene.)

Da stimme ich Dir zu!

 

[djofly]

Es geht darum, dass eine Firma wie Apple 30 neue Emojis bewirbt, sich selber als TOP darstellt und solche Lücken im System hat.

Welche Firma macht das nicht? Microsoft, Routerhersteller, Switchhersteller oder sogar Alarmsysteme, alle mit unfassbaren Lücken und gleichzeitig werden die Produkte angepriesen. Also bitte!
Daraus jetzt das Ende von Apple abzuleiten ist doch arg konstruiert.

 

[Discovery]

Welche Firma macht das nicht? Microsoft, Routerhersteller, Switchhersteller oder sogar Alarmsysteme, alle mit unfassbaren Lücken und gleichzeitig werden die Produkte angepriesen. Also bitte!
Daraus jetzt das Ende von Apple abzuleiten ist doch arg konstruiert.

Emojis sind keine neuen Produkte. Das ist Dreck und hat nichts zu suchen auf einem System, das professionell eingesetzt werden soll.

 

[chris25]

Emojis sind keine neuen Produkte. Das ist Dreck und hat nichts zu suchen auf einem System, das professionell eingesetzt werden soll.

Sie sind halt Teil des Unicode-Standards und daher ist es sinnvoll diese umzusetzen, wenn man diesen unterstützt.

 

[Deine Mudda]

Ich bin unschlüssig...