Update lost root-probleem macOS High Sierra op

Raymon op 29 november 2017 31 reacties Laatste door Jakko Westerbeke

Minder dan 24 uur na de ontdekking van een ernstig probleem met de root-gebruiker van macOS High Sierra, is een patch beschikbaar. Alle gebruikers met High Sierra 10.13.1 vinden in de Mac App Store een beveiligingsupdate genaamd 2017-001.

Installeer ‘m zo snel mogelijk. Dinsdag werd namelijk een ernstig probleem met de root-gebruiker van de nieuwste macOS-versie ontdekt. Deze gebruiker mag alles op een Mac en was niet goed beveiligd.

Alle Macs met High Sierra getroffen

Alles en iedereen (inclusief malware) kon alle instellingen van een Mac aanpassen door ‘root’ als gebruiker zonder wachtwoord op te geven. De update is nog niet beschikbaar voor gebruikers van de publieke beta van macOS High Sierra 10.3.2. Opnieuw opstarten is na installatie niet nodig en als je de tijdelijke fix die we gisteren beschreven nog niet hebt uitgevoerd, hoeft dat niet meer. De update installeren is genoeg.

Schermafbeelding 2017-11-28 om 22.24.21

Klik/tap voor groter.

Aanvankelijk was er twijfel of alle Macs met High Sierra getroffen waren. Die twijfel ontstond omdat de root-gebruiker standaard was uitgeschakeld. Het invoeren van root zonder wachtwoord bij bijvoorbeeld een instelling in de Systeemvoorkeuren, schakelde de root-gebruiker echter meteen in. Het was zelfs mogelijk om op een Mac als root in te loggen.

Mogelijke oorzaak

Apple heeft nog niet toegelicht wat dit probleem veroorzaakte, maar de Franse beveiligingsonderzoeker Yoann Gini is gaan graven. Hij denkt dat de bug veroorzaakt werd door een nieuwe standaard voor accounts die Apple sinds High Sierra gebruikt. Accounts die onder High Sierra aangemaakt worden, krijgen automatisch de nieuwe standaard die zorgt dat ze compatibel zijn met APFS (Apple File System).

Oude accounts moeten worden bijgewerkt en dat gebeurde pas bij het eerste gebruik van een account. De root-gebruiker had nog de oude standaard en moest dus worden bijgewerkt. Omdat het proces niet goed getest was, werd het root-account zonder wachtwoord geactiveerd. Dit verklaart ook waarom macOS 10.12 Sierra niet werd getroffen door de bug.

Apple biedt in een verklaring naar Amerikaanse media zijn excuses aan:

We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.

Raymon is vaste redacteur bij OMT, maar noemt zich liever redactieninja. Ook te volgen op Twitter en wekelijks te horen in de TechSnacks Podcast. Lees meer artikelen van Raymon.

En nu?

31 reacties

Profielfoto

tinus_omt op 29 november 2017

Snel opgelost, maar het blijft een blamage.

Profielfoto

dennissch op 29 november 2017

Ik wou vanavond die fix die gisteren op deze site staat uitvoeren, maar nu ik lees dat er een patch uitgekomen is is het voldoende om alleen die patch uit te voeren? Andere handelingen zijn overbodig?

Sorry als dit wat noobachtig overkomt, maar ik gebruik pas sinds 2 weken weer een mac.

Profielfoto

McJohn op 29 november 2017

Wel….de tijd zal het uitwijzen,… maar het zou met die patch moeten opgelost zijn. Straks krijgen we nog een patch voor een patch….. Windows?:roll:

Profielfoto

donut op 29 november 2017

niet zo snel als je denkt;
Het was op 5 okt al bekend dat er idiote problemen waren met de beveiliging:

https://www.macrumors.com/2017/10/05/macos-high-sierra-disk-utility-vulnerability

Toen had Apple meteen alles moeten controleren.
Dat hebben ze blijkbaar niet gedaan…
Sommige hackers vast wel.

Dit zijn niet zomaar fouten- de focus ligt daar helemaal verkeerd.
Wellicht niet het laatste probleem met High Sierra.
APFS geeft ook de nodige problemen en de beloofde snelheidswinst wordt door sommigen sterk betwist- zij zien in realiteit soms een sterke vertraging.

Profielfoto

Shmoo op 29 november 2017

Kijk zo kan het ook. 💪

Gewoon de eerste developer die je te pakken krijgt over zijn bureau trekken en dan een schroevendraaier op zijn oog richten terwijl je schreeuwt dat hij eraan gaat wanneer de problemen niet heel snel verholpen zijn – gevolg – de rest van het gespuis is meteen gemotiveerd om de boel snel op te lossen.

Chef software bij Apple is echt een eenvoudig baantje wanneer je weet hoe je ze moet aanpakken en motiveren.

Profielfoto

Raymon [moderator] op 29 november 2017

Ik wou vanavond die fix die gisteren op deze site staat uitvoeren, maar nu ik lees dat er een patch uitgekomen is is het voldoende om alleen die patch uit te voeren? Andere handelingen zijn overbodig?

Klopt. Andere handelingen zijn overbodig.

Profielfoto

McJohn op 29 november 2017

Ik had het in een andere post al geschreven,…. kwaliteit gaat ten koste van kwantiteit. Elk jaar een nieuw OS uitbrengen is simpelweg overkill. Ik heb heimwee naar de tijd dat Apple maar om de 3 jaar een OS uitbracht, nu komen ze bij wijze van spreken al met een nieuwe OS versie aanzetten terwijl de vorige nog maar aan 10.x.3 zit.

Maar nogmaals…. de mensen zijn verwend.

Profielfoto

dennissch op 29 november 2017

Ik wou vanavond die fix die gisteren op deze site staat uitvoeren, maar nu ik lees dat er een patch uitgekomen is is het voldoende om alleen die patch uit te voeren? Andere handelingen zijn overbodig?

Klopt. Andere handelingen zijn overbodig.

Dankje Raymon! Dan ga ik zo de update uitvoeren.

Profielfoto

Barika Cala Saidah op 29 november 2017

@MCJohn, jaarlijks een nieuw OS? Ik zou het eerder houden op maandelijks, ik zie niet in wat het probleem is. APFS is nu eenmaal een erg significante transitie waar zaken zoals deze schijnbaar gebeuren. Dit incident had evengoed kunnen plaatsvinden in een macOS 10.12.x update.
Jij snapt het niet erg goed meen ik.

Profielfoto

aperitivo op 29 november 2017

ik kreeg zojuist een melding om mijn mac dat er een update ‘2017-001’ geïnstalleerd is. Dus opgelost door Apple?

Profielfoto

aperitivo op 29 november 2017

eh sorry, dat is dus zo

Profielfoto

Cybertopian op 29 november 2017

LOL: “Security update ….. improves the security of macOS”.

Nu ze toch bezig waren om een security bug plat te slaan hebben ook gelijk maar een verbetering toegevoegd? 🤨

Ze zijn blijkbaar niet in staat om gewoon te zeggen dat ze een serieuze bug hebben gefixt.

Profielfoto

McJohn op 29 november 2017

@Barika … die “root-bug” heeft niets met APFS te maken,…meen ik, want zelfs Mac computers met Fusion Drives, waar APFS niet op werkt… zijn getroffen. Althans…alle Macs met High Sierra dus.

Trouwens, sinds wanneer komt er maandelijks een nieuw OS uit volgens jou? de 10.x.x, met name het middelste nummertje slaan op de versie van het OS dat op je Mac staat, waar ze meestal bugfixes/verbeteringen die wat omvangrijk zijn etc op losgooien en het dan aanduiden met het laatste cijfertje. Als het om pure security updates gaat… dan is dat erg vaak “jaartal-3cijfers”, zoals nu: 2017-001

Even een opfrissing inzake rekenen:

10.7 -> 2011
10.8 -> 2012
10.9 -> 2013
10.10 -> 2014
10.11 -> 2015
10.12 -> 2016
10.13 -> 2017

Lijkt me… jaarlijks… of ben ik nu zo simpel? Tussen 10.4 en 10.5 zat ongeveer 2 jaar, net zoals bij 10.6 en 10.7, ook iets van 2 jaar.

Profielfoto

Raymon [moderator] op 29 november 2017

Voor de duidelijkheid: de bug werd veroorzaakt voor een algemene verandering die nodig was om APFS te ondersteunen, maar een Mac met High Sierra die geen APFS heeft is ook getroffen.

Profielfoto

McJohn op 29 november 2017

Mea culpa. Welja, gewoon een slordigheid,… die op zich niet is veroorzaakt door APFS zelf…. maar door een nalatigheid van een programmeur…. fin dat wou ik beetje pinpointen.

Profielfoto

lord anubis op 29 november 2017

Wat ik wel heb na de update op mijn MBP, dat als ik een foto naar foto’s wil sturen ( control click, voeg afbeelding toe aan foto’s ) iPhoto opent en het daarin kopieert. Nooit zo geweest, letterlijk nog geen minuut voor de update werkte het goed. Net getest op mijn iMac idem dito.

Terzijde, op twee laptops nu met AFPS, lijkt een er van een stuk trager te zijn. heeft zelfs 24GB ram ten opzichte van de andere die sneller lijkt met 16GB ram.

Profielfoto

dridze op 29 november 2017

kan ik nu die tijdelijke oplossing van gisteren weer ongedaan maken?

Profielfoto

lord anubis op 29 november 2017

Na herstart werkt het toevoegen naar foto’s weer correct.

Profielfoto

MrMo op 29 november 2017

Ik vraag me af of de CIA/NSA/AIVD diensten dankbaar gebruik hebben gemaakt of gebruik maken van deze enorme leak. Zou deze als 0-day voor grof geld zijn verkocht?

Profielfoto

Wyodor op 29 november 2017

Ik mag toch aannemen dat als je ‘root’ bij eerdere versies van OSX hebt geactiveerd, dat het wachtwoord gehandhaafd blijft als je High Sierra installeert.

Al die mensen die nu overstuur raken van het probleem hebben dan blijkbaar nooit eerder ‘root’ geactiveerd of ze hebben een schone installatie uitgevoerd.

Profielfoto

koen op 30 november 2017

Als je file sharing problemen hebt na het installeren van deze fix, lees dit even:

https://support.apple.com/nl-nl/HT208317

Profielfoto

Shmoo op 30 november 2017

Ik vraag me af of de CIA/NSA/AIVD diensten dankbaar gebruik hebben gemaakt of gebruik maken van deze enorme leak. Zou deze als 0-day voor grof geld zijn verkocht?

.
Vast wel.. En zeker van al die mensen die nog saaier zijn dan een puntlasapparaat.

Profielfoto

fastshifter op 30 november 2017

Als mijn Mac uit z’n slaap komt dan toont het inlogscherm ‘Systeem beheerder’ in plaats van mijn eigen account naam. weet iemand hoe dat komt en of dat te fixen is?

Profielfoto

Ouw op 30 november 2017

Ik mag toch aannemen dat als je ‘root’ bij eerdere versies van OSX hebt geactiveerd, dat het wachtwoord gehandhaafd blijft als je High Sierra installeert.

Al die mensen die nu overstuur raken van het probleem hebben dan blijkbaar nooit eerder ‘root’ geactiveerd of ze hebben een schone installatie uitgevoerd.

Eh, nee is mij gebleken. Door mij ooit ingestelde wachtwoord voor root wordt na deze geweldige ‘patch’ niet meer geaccepteerd.

Profielfoto

Q-collective op 30 november 2017

Super actie! Wel een beetje jammer dat Apple de zwarte piet krijgt toegeschoven. Goed, het is een dramatische bug. Maar een verantwoordelijke manier om bugs te melden is hier volgens mij niet gehanteerd. Dat meld je namelijk bij Apple zelf, niet door het in de openbaarheid te gooien. Op deze manier heeft de persoon die het had ontdekt miljoenen mensen onveilig gemaakt.

Ik mag toch aannemen dat als je ‘root’ bij eerdere versies van OSX hebt geactiveerd, dat het wachtwoord gehandhaafd blijft als je High Sierra installeert.

Al die mensen die nu overstuur raken van het probleem hebben dan blijkbaar nooit eerder ‘root’ geactiveerd of ze hebben een schone installatie uitgevoerd.

Eh, nee is mij gebleken. Door mij ooit ingestelde wachtwoord voor root wordt na deze geweldige ‘patch’ niet meer geaccepteerd.

Dan stel je hem opnieuw in. Drama.

Profielfoto

Ouw op 30 november 2017

At Q-collective: Zo’n drama is het voor mij niet, maar even voor de duidelijkheid: Na installatie van High Sierra was mijn root account nog steeds actief. Met het wachtwoord dat ik eerder had ingesteld. En toen er berichten kwamen over de bug heb ik geprobeerd of ik kon inloggen zonder wachtwoord. Dat kon niet, prima dus. Na installatie van de patch, hedenochtend, werkt su – met het ingestelde wachtwoord niet meer. Die patch was dus een botte bijl. Dat is mijn bezwaar. Opnieuw dan maar, zonder drama.

Profielfoto

razend op 30 november 2017

Opmerkelijk:
ik heb gisteren de hier voorgestelde ‘work around’ gevolgd, waarbij ik dus eerst het root account moest activeren en er vervolgens een password op moest zetten. Alles netjes gedaan.
Vandaag de patch van Apple geïnstalleerd. Toch maar even gecheckt, en wat denk je: de patch heeft het root account weer uitgeschakeld! Bij opnieuw inschakelen moet ik zelf weer een password aanmaken.
Wie snapt het nu nog?

Profielfoto

Q-collective op 30 november 2017

Opmerkelijk:
ik heb gisteren de hier voorgestelde ‘work around’ gevolgd, waarbij ik dus eerst het root account moest activeren en er vervolgens een password op moest zetten. Alles netjes gedaan.
Vandaag de patch van Apple geïnstalleerd. Toch maar even gecheckt, en wat denk je: de patch heeft het root account weer uitgeschakeld! Bij opnieuw inschakelen moet ik zelf weer een password aanmaken.
Wie snapt het nu nog?

Hij hoort uitgeschakeld te staan.

Profielfoto

VRam op 01 december 2017

Volgens mij kan elke willekeurige beheerder van de machine nu ROOT worden als ROOT wordt uitgeschakeld.

Telkens als je ROOT inschakelt wordt gevraagd een nieuw password aan te maken.

Dit lijkt mij niet de bedoeling! Wat is Apple denkende…..

Profielfoto

vincentvega op 01 december 2017

ik kreeg zowel op 29-11 als op 30-11 dezelfde update die ik dus ook mar geïnstalleerd heb. Op 2 machines trouwens. best raar…

Profielfoto

Jakko Westerbeke op 01 december 2017

De bijbehorende humor:

 


Je kunt alleen reageren met een gratis OMT account.
Heb je geen OMT account? Registreer je dan nu gratis!

Inloggen

 

of Wachtwoord resetten?