1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Privilege Escalation: MacOS High…

Hab‘ das jetzt eine halbe Stunde lang versucht

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: happymeal 28.11.17 - 23:13

    Es funktioniert einfach nicht. Vermutlich ein Bug in der Sicherheitslücke.

  2. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: Lapje 28.11.17 - 23:14

    Na dann hoffen wir mal, dass es schnell einen Patch dafür gibt...^^

  3. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: Anonymer Nutzer 28.11.17 - 23:17

    Bug-ception!

  4. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: freshcuruba 28.11.17 - 23:24

    entweder hast du ein root Passwort gesetzt oder nicht in das Passwort Feld den Curser gesetzt

    ich denke mal du hast auch High sierra installiert :D

  5. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: stonerl 28.11.17 - 23:36

    happymeal schrieb:
    --------------------------------------------------------------------------------
    > Es funktioniert einfach nicht. Vermutlich ein Bug in der Sicherheitslücke.

    Hat bei mir im zweiten Anlauf funktioniert.

  6. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: Subotai 29.11.17 - 00:41

    Ebenso...das ist schon sehr schwach von Apple. Kommt fast an Windows 95 ran, wo man beim Login einfach auf "Abbrechen" geklickt hat, um trotzdem reinzukommen.

  7. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: DebugErr 29.11.17 - 02:47

    Das war aber kein Bug, sondern Absicht um ohne Profil zu arbeiten.

    Du hättest die Backdoor über den Hilfe-Button in Windows 98 erwähnen können.



    1 mal bearbeitet, zuletzt am 29.11.17 02:49 durch DebugErr.

  8. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: Der Supporter 29.11.17 - 06:44

    Ist doch nicht das gleiche. Hier musst du ja erst angemeldet sein und dann kannst du deine Rechte erweitern.

  9. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: countzero 29.11.17 - 06:59

    Das liegt aber daran, dass es in Win 95-ME gar keine Benutzerverwaltung gab. Der Login-Bildschirm war nur für die Netzwerk-Anmeldung.

  10. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: derdiedas 29.11.17 - 08:16

    Funktioniert bei mir auch nicht... evtl. gilt der Bug nur wenn die Festplatte nicht verschlüsselt war?

  11. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: elgooG 29.11.17 - 08:53

    derdiedas schrieb:
    --------------------------------------------------------------------------------
    > Funktioniert bei mir auch nicht... evtl. gilt der Bug nur wenn die
    > Festplatte nicht verschlüsselt war?

    Funktioniert bei mir auch nicht. Bei mir ist die Verschlüsselung übrigens auch an. Ein Root-Kennwort hätte ich nie gesetzt.

    Solange man angemeldet sein muss und der Rechner entspert sein muss finde ich das "kritisch" doch reichlich übertrieben und Sätze wie "mimimi schon wieder ein kritischer Bug" sind einfach nur peinlich. Aber inzwischen habe ich die Hoffnung bei Golem sowieso aufgegeben. Die fahren inzwischen den selben Clickbait-Zug wie die meisten "Qualitätsjournalisten".

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  12. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: der_wahre_hannes 29.11.17 - 09:15

    DebugErr schrieb:
    --------------------------------------------------------------------------------
    > Du hättest die Backdoor über den Hilfe-Button in Windows 98 erwähnen
    > können.

    Die kenn ich gar nicht, was war denn da?

    Der größte Mist war ja Windows Bob, wo man nach 3 Fehlversuchen einfach ein neues Passwort setzen konnte...

  13. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: countzero 29.11.17 - 09:26

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Solange man angemeldet sein muss und der Rechner entspert sein muss finde
    > ich das "kritisch" doch reichlich übertrieben und Sätze wie "mimimi schon
    > wieder ein kritischer Bug" sind einfach nur peinlich. Aber inzwischen habe
    > ich die Hoffnung bei Golem sowieso aufgegeben. Die fahren inzwischen den
    > selben Clickbait-Zug wie die meisten "Qualitätsjournalisten".

    Du gehst von einem externen Angreifer aus. Über den Bug kann aber auch ein Mitarbeiter in einer Firma sich lokale Adminrechte verschaffen, die er eigentlich nicht haben sollte. Daher ist „kritisch“ schon angebracht.

  14. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: lgo 29.11.17 - 09:29

    Nur gut, dass nicht Du bewertest, was kritisch ist. Das hoffe ich für Deinen Arbeitgeber jedenfalls. Dann lieber die "Qualitätsjournalisten".

    https://www.google.de/search?q=critical+macos+root&rlz=1C5CHFA_enDE743DE743&oq=critical+macos+root&aqs=chrome..69i57.7199j0j7&sourceid=chrome&ie=UTF-8

  15. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: chewbacca0815 29.11.17 - 09:43

    countzero schrieb:
    --------------------------------------------------------------------------------
    > Über den Bug kann aber auch ein Mitarbeiter in einer Firma sich lokale Adminrechte verschaffen, die er eigentlich nicht haben sollte. Daher ist „kritisch“ schon angebracht.

    Offensichtlich scheint es so zu sein, dass hier ein root Account ohne Passwortschutz aktiviert wurde. Wer sowas in einer Mehrbenutzerumgebung anlegt, ist eben selber Schuld. In meinen Augen ist der "Bug" tatsächlich auf dem Clickbait-Level.

  16. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: max.pecu 29.11.17 - 09:55

    https://imgur.com/gallery/fqjnK

    Have fun ;)

  17. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: freshcuruba 29.11.17 - 10:14

    ihr schnallt es einfach nicht oder?

    wenn ihr HighSierra installiert habt und euer root account eigentlich deaktiviert ist (dabei hat er auf gar keinen MacOS ein Passwort) dann reaktiviert dieser sich ohne Passwort sobald man root als username benutzt und den Curser in das Leere Passwort Feld setzt.

    das bedeutet das man sich nach einmaliger Verwendung damit auch im Login Screen Anmelden kann.

    Es wird Quasi der Status deaktiviert von dem Benutzer einfach Ignoriert.
    sobald man seinen Benutzer deaktiviert wird das root Passwort entfernt.

    Es hilft also nur den Benutzer Aktiv zu lassen und ein Passwort zu setzen bis es ein Update gibt :D



    2 mal bearbeitet, zuletzt am 29.11.17 10:26 durch freshcuruba.

  18. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: happymeal 29.11.17 - 10:27

    freshcuruba schrieb:
    --------------------------------------------------------------------------------
    > entweder hast du ein root Passwort gesetzt oder nicht in das Passwort Feld
    > den Curser gesetzt

    Ich schau heute Abend mal nach. Aber ganz ehrlich weiß ich nicht mal wie man root überhaupt aktiviert.

  19. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: chewbacca0815 29.11.17 - 10:54

    freshcuruba schrieb:
    --------------------------------------------------------------------------------
    > wenn ihr HighSierra installiert habt und euer root account eigentlich deaktiviert ist (dabei hat er auf gar keinen MacOS ein Passwort) dann reaktiviert dieser sich ohne Passwort sobald man root als username benutzt und den Curser in das Leere Passwort Feld setzt.

    Das war das Missing Link! Wenn dem tatsächlich so ist, wie Du schreibst, dann ist das wahrlich eine ganz üble Geschichte! Vielen Dank für's Erläutern.

  20. Re: Hab‘ das jetzt eine halbe Stunde lang versucht

    Autor: der_wahre_hannes 29.11.17 - 11:41

    max.pecu schrieb:
    --------------------------------------------------------------------------------
    > imgur.com
    >
    > Have fun ;)

    Wobei ich mich ja immer frage: Wer zum Teufel kommt auf sowas? ^^

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. über experteer GmbH, Raum Gießen, Wetzlar, Limburg, Frankfurt
  2. über experteer GmbH, Berlin
  3. DENIC eG, Frankfurt am Main
  4. Statistisches Bundesamt, Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de


Haben wir etwas übersehen?

E-Mail an news@golem.de


Bauen: Ein Hochhaus aus Holz für Hamburg
Bauen
Ein Hochhaus aus Holz für Hamburg

Die weltweite Zementherstellung stößt jährlich mehr CO2 aus als der Luftverkehr. Ein nachwachsender Rohstoff soll Bauen umweltfreundlicher machen.
Ein Bericht von Werner Pluta

  1. Transformation Söder will E-Auto-Gutschein beim Kauf von Verbrennern
  2. Kohlendioxidabscheidung Norwegen fördert Klimaschutzprojekt mit 1,5 Milliarden Euro
  3. Rohstoffe Kobalt-Kleinbergbau im Kongo soll besser werden

IT-Jobs: Die schwierige Suche nach dem richtigen Arbeitgeber
IT-Jobs
Die schwierige Suche nach dem richtigen Arbeitgeber

Nur jeder zweite Arbeitnehmer ist mit seinem Arbeitgeber zufrieden. Das ist fatal, weil Unzufriedenheit krank macht. Deshalb sollte die Suche nach dem passenden Job nicht nur dem Zufall überlassen werden.
Von Peter Ilg

  1. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden
  2. Jobs Unternehmen können offene IT-Stellen immer schwerer besetzen
  3. Gerichtsurteile Wann fristlose Kündigungen für IT-Mitarbeiter rechtens sind

Oneplus 8T im Test: Oneplus gutes Gesamtpaket kostet 600 Euro
Oneplus 8T im Test
Oneplus gutes Gesamtpaket kostet 600 Euro

Das Oneplus 8 wird durch das 8T abgelöst. Im Test überzeugen vor allem die Kamera und die Ladegeschwindigkeit. Ein 8T Pro gibt es 2020 nicht.
Ein Test von Tobias Költzsch

  1. Bloatware Oneplus installiert keine Facebook-Dienste mehr vor
  2. Smartphone Oneplus 8 und 8 Pro bekommen Android 11
  3. Mobile Neues Oneplus-Smartphone für 200 US-Dollar erwartet