https://twitter.com/lemiorhan/status/935578694541770752

Puh, das ist echt hart und funktionieren tut es auch wirklich.

Eben getestet und funzt wie bei Twitter beschrieben.
************************************************************ ************
Systemeinstellung Benutzer & Gruppen Sperrung aufheben (klick auf das Schloss)

Benutzername: root
Passwort: Das Feld leer lassen (kein Passwort).

Dieses mehrmals versuchen.
************************************************************ ***********
Bei zweiten Versuch, Treffer.....

Ups ja geht tatsächlich nach mehrmaligen probieren.

Ja, ich habe auch mal einen User ohne Admin Rechte getestet, auch da klappt alles. Man man, das ist echt übel.

Haha, sogar als Gast User.

Das ist mal wieder der Beweis dass es mit der Qualität der Software bei Apple leider steil bergab geht...

Kann den Fehler nicht reproduzieren.

Aber viele andere, er ist wirklich da, oder hast du dem root user explizit ein Passwort gesetzt?

Das ist keine Sicherheitslücke, sondern wahrscheinlich oder eigentlich wieder einer der netten Bugs!

Nicht dass ich wüsste.

DAS ist echt ein Knaller. Gerade erfolgreich nachvollzogen mit 10.13.1 und 10.13.2 Beta 2. Und, ganz stark sein: Das geht auch mit Remote Desktop!

Oh, Apple, mein Apple.

Ich gehe jetzt ins Bett, und wache hoffentlich morgen in einer Welt auf, in der das gefixt ist.

Ein Bug der eine Sicherheitslücke offenbart, ok?

Ohje, wenn ich sowas lesen muss von dir ... ich drücke die Daumen.

Wenn du unter High Sierra unterwegs bist, sollte es funktionieren, wenn nicht - schätz dich glücklich.

Jop, 10.13.1

Wow, das geht nicht nur bei Benutzer & Gruppen.
Schon heftig wenn man Security so einfach ausser Kraft setzen kann. Vielleicht sollte sich Apple wieder mehr auf Qualität als auf Animojis konzentrieren.

WTH:
Ich werde jetzt ruhig und tief schlafen, nachdem ich das Adminfel der Eingabemaske mit einem Klebebandstreifen gegen Beschreiben gesperrt habe.

Selbst eine Systemanmeldung mit root und leerem Kennwort funktioniert bei mir.
Oh Apple...

Naja, Workaround ist, sich mit dem root-User anzumelden und dann erstmal ein Kennwort zu setzen.
Aber das ist echt ein krasser und ziemlich peinlicher Bug.

Das Kennwort kann aber auch jeder andere setzen

Nur der, der dies zuerst durchführt. Danach muss das korrekte Kennwort eingegeben werden.

Jep schon klar

Ich muss das hier leicht korrigieren: Die Systemanmeldung mit root und leerem Kennwort funktioniert erst dann, wenn man einmal das Schloss in den Systemeinstellung mit dem root-User entsperrt hat. Erst wenn dies einmal gemacht wurde kann man sich damit auch einloggen. Vermutlich gibt es dafür aber auch noch andere Wege...

Apple arbeitet an einem Update:

News dazu ist online:

Hätte ich gerne mal ausprobiert. Ich hab nur schon immer ein Passwort für root vergeben. Vorahnung?

Man muss dafür aber nicht nur root eingeben, sondern auch den Cursor in das Feld Passwort setzen.

Nein, ein bekannter schon, ein anderer und ich nicht

Gut, dann also nur ich

Wie jetzt bekannt wurde, soll der für die Panne verantwortliche Entwickler ein Animoji in den Code geschmuggelt haben. Es soll sich dabei um einen jubilierenden Kackehaufen handeln. 💩

Quatsch, das war der Entwickler, dessen Tochter das Video vom iPhone X bei Youtube eingestellt hat.

Der Bug wurde schon vor zwei Wochen im Apple-Forum beschrieben:
"Again, head over to System Preferences>Users & Groups. Click on the Lock Icon. When prompted for username and password, type username: root and leave the password empty. Press enter. This might throw an error, but try again immediately with the same username: root and empty password. This should unlock the Lock Icon."

Das setzt der Sache nochmals einen drauf

Und alle die seit Jahren auf 10.6 schwören und behalten fühlen sich bestätigt

Aber joa...Schon nicht so optimal gelaufen. Najasollte ja schnell behoben sein

Alle, die immer noch auf 10.6 schwören haben ganz andere Probleme...

Ohne Firmware PW ist man in 2 Minuten root auf jeder Kiste.

Das ist der Satz des Tages für mich. Ohne "vielleicht".

Geht einfacher.
Ruhe ist.

Gesunder Menschenverstand, würde ich sagen

Aber nicht remote. Das ist schon nochmal ein anderes Kaliber.

Leider nein

Behoben ja, wirft aber ein katastrophales Licht auf die Art der Softwareentwicklung bei Apple...

Interessant. Ich habe das "Directory Utility" nie benutzt, und bislang hat das Setzen des Paßworts für root immer ausgereicht, um den Account auch nutzbar zu machen.

Gerade getestet (HS 10.13.2): Das Setzen des root-Paßwortes über die Shell setzt auch das "Enable Root User"-Flag im Directory Utility. Also alles beim alten: 'sudo passwd root' reicht, wenn man nicht hinterher hergeht und root im Directory Utility wieder deaktiviert.

Leider offenbar auch remote , , , , .

Analyse von Patrick Wardle:

Du hast den Kontext des von Dir zitierten Beitrags offenbar nicht verstanden.

Möglicherweise habe ich Deine Bemerkung, auf die ich mich bezogen habe und die Bemerkung, auf die Du Dich mit Deiner Bemerkung bezogen hast, missverstanden, dann bittte ich um Entschuldigung. Wie war sie dann denn gemeint, auch in Bezug auf den gesamten und spezifischen Kontext, auf den Du Dich bezogen hast? Ich denke, Du und ich denken da insgesamt gerade gleich, möglicherweise ist das hier nur ein kleines Missverständnis, das sich schnell aufklären lässt.

Wie hast Du Deine Antwort

also gemeint, wenn nicht so, wie ich es (Deiner Ansicht nach falsch, dann bitte ich dankbar um diesbzgl. Klarstellung und Korrektur meines Gesagten) verstanden habe?

Peter Eckel:

Die Lücke lässt sich laut Aussage mancher (s.o.) angeblich auch remote ausnutzen bzw. kommt angeblich auch da zum Tragen, unter bestimmten Bedingungen, wenn bestimmte Netzwerkdienste genutzt werden bzw. zur Nutzung aktiviert/freigeschaltet sind. Korrigiere mich bitte und stelle es bitte richtig, wenn das eine unrichtige Aussage dererseits oder eine unrichtige Wiedergabe meinerseits sein sollte. Zusatzfrage: würde/müsste das Setzen eines Firmware-Passwortes auf dem Zielrechner einen solchen Remote-Zugriff vereiteln oder nicht, oder klappt's auch, egal ob ein Firmware-Passwort gesetzt ist oder nicht?

Das Firmware-Passwort gilt nur für die Firmware bzw. das EFI. Wenn man aber mit der Recovery booten kann, dann kann man auch im Terminal den root User aktivieren bzw. die Kennwörter der bestehen User ändern.

VNC uns ARD sind ja meines Wissens nicht automatisch aktiviert. Inwiefern man den Bug über ssh ausnützen kann müsste man ausprobieren. Scheint aber auch per default deaktiviert zu sein.

Fix ist da, einfach über Updates laden.
Zumindest das ging schnell.

Quelle:

Fehler 11:
Quelle: (in den Kommentaren)
Quelle: (in den Kommentaren)

Gott sei Dank hat Apple schnell reagiert und just gerade eben einen Fix veröffentlicht. Aufgefallen und bekannt ist diese eklatante Lücke ja schon seit mindestens 2 Wochen, wie Megaseppel obig richtigerweise drauf hingewiesen und verlinkt hat.

Wie konnte so ein eklatanter und übler Fehler passieren und der hauseigenen Qualitätssicherung (QA) überhaupt entgehen, von ihr nicht rechtzeitig und rechtzeitig vor Release/Freigabe von HighSierra im Rahmen hausinterner Tests und auch während der Beta- und Prerelease-Phase entdeckt und noch frühzeitig korrigiert werden?

So: Sicherheitsupdate ist installiert. Vorerst ist Ruhe. 🙄

Wer eröffnet den Next-Bug-Wartethread ? 🤔

Habe das Update gleich nach Erscheinen installiert. Interessanterweise bietet mir mein System das selbe Update heute Morgen auf meinen beiden Rechnern noch einmal als Update an.

aqua01

Schau mal, was motiongroup in den News dazu sagt: