Jan 10: Erneut schwerer Passwort-Bug in macOS High Sierra entdeckt

Wie hatte es Apples Marketing-Chef Phil Schiller ausgedrückt, als er auf die teils schweren Bugs angesprochen wurde, die Apples Betriebssysteme Ende vergangenen Jahres heimsuchten? "Wir hatten eine schlechte Woche." Nun ja, vielleicht ist es doch ein wenig mehr. Erneut ist nun eine schwere Sicherheitslücke in macOS High Sierra auf Open Radar bekanntgeworden, bei der sich das AppStore Menü in den Systemeinstellungen mit einem beliebigen Passwort entsperren lässt. Dies lässt sich auf folgendem Wege auch in der aktuellen Version macOS High Sierra 10.13.2 nachstellen:

  • Systemeinstellungen öffnen
  • Bereich AppStore auswählen
  • Schloss zum Entsperren anklicken
  • Erneut auf das Schloss klicken
  • Benutzernamen eines Administrators und beliebiges Passwort eintippen

Die Kollegen von MacRumors konnten dieses Verhalten weder in der vierten Beta von macOS High Sierra 10.13.3, noch unter macOS Sierra 10.12.6 nachstellen, was nahelegt, dass der Fehler erst mit macOS High Sierra eingeführt wurde und mit dem nächsten Update behoben wird.

Dies Auswirkungen dieses Bugs sind als durchaus schwerwiegend anzusehen. So kann jeder, der physischen Zugriff auf einen entsperrten Mac hat die Einstellungen des Mac AppStore manipulieren und unter anderem auch das Installieren von Apps von außerhalb des AppStore erlauben. Apple hat sich dazu bislang nicht geäußert, wird das Problem aber wie gesagt offenbar mit dem nächsten Update für macOS HighSierra beheben.

Geschrieben von Florian Schimanke am Mittwoch, 10. Januar 2018 um 17:46 in Mac
Kommentare: (17) Trackbacks: (0)
Tags für diesen Artikel: , , , ,
Artikel mit ähnlichen Themen:

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

#1 - Anonym 10.01.2018 17:59 - (Antwort)

Offensichtlich mehr als nur eine schlechte Woche.

#2 - Dhallalala 10.01.2018 18:04 - (Antwort)

Ist schlimm und darf ned sein, aber nicht so schlimm, weil der Mac ja erst entsperrt sein muss....aber geht natürlich trotzdem gar nicht.

#3 - Floyd Pepper 10.01.2018 18:11 - (Antwort)

Es reicht langsam!
Wird Zeit dass Gewinne-Tim endlich geht!

#4 - Alex 10.01.2018 18:20 - (Antwort)

Also ich bin jahrelanger Apple Nutzer. Man könnte mich durchaus als Fanboy bezeichnen. Aber was zur Zeit bei Apple abgeht ist nicht mehr feierlich!

#5 - Fitch 10.01.2018 18:21 - (Antwort)

Mal schauen, welchen schwerwiegenden Bug sich die Programmierer für das nächste Update ausdenken  😊 😊

#6 - DM 10.01.2018 18:22 - (Antwort)

@Flo Nicht "jeder mit physikalischem Zugriff" kann auf die Einstellungen zugreifen. Im rdar://36350507 steht, das nur physikalische User mit Admin rechten das machen können. Bei nicht Admin Nutzern geht es nicht.
Trotzdem nicht schön...

#7 - DamGo17 10.01.2018 18:40 - (Antwort)

Aus ner Woche wird ein Monat und hoffentlich nicht ein Jahr !

#8 - Erich 10.01.2018 19:07 - (Antwort)

Jetzt ist der Apfel echt angebissen

#9 - iDirk 10.01.2018 19:10 - (Antwort)

Ich nenne das ein  😊 egg 😊  😊 😊

#10 - Rolf 10.01.2018 19:38 - (Antwort)

Wirklich so schlimm? Ich entsperre meinen Mac, gebe ihm jemanden, der damit böse Sachen machen kann. Damals hätten die Leute noch darüber gelacht, heute wird Apple gleich verflucht.

#10.1 - Arthur Dent 10.01.2018 20:12 - (Antwort)

Genauso sehe ich es auch.
Es muss also erstmal jemand einbrechen, den iMac starten, das Passwort zum Starten eingeben und dann Blödsinn damit anstellen.
Sorry, aber ich glaube so interessant bin ich für so eine Art von Einbrechern wirklich nicht.

#11 - Weilicheinapfelbin 10.01.2018 19:45 - (Antwort)

Aple ist doch einfach ein ganz normales Unternehmen wie alle anderen. Da regt man sich nicht mehr auf!

#12 - Anonym 10.01.2018 21:23 - (Antwort)

Diese Art von Fehler sind okey, solang man sie schnell fixed.

Root bug oder Encrypt leak war krass!!

#13 - itsme 10.01.2018 23:40 - (Antwort)

Bei Windows-Systemen kann, ebenfalls bei physischem Zugriff, seit etlichen Jahren das Passwort eines beliebigen (Admin-)Accounts zurückgesetzt und/oder durch ein neues ersetzt werden. Das dauert keine 2 Minuten.

Systeme, die nicht hinreichend geschützt und/oder gemanaged werden (File-Vault, starkes und regelmässig zu änderndes Passwort, Policies in Unternehmen usw.) sind eben angreifbar.

Wer seinen Rechner oder Laptop entsperrt verlässt, dem ist nicht mehr zu helfen.

Sicherheit war, ist und bleibt immer ein Kompromiss. Entweder Sicherheit zu Lasten des Komforts oder eben umgekehrt.

Der Durchschnitts-Otto-Normal-User ändert weder monatlich sein 12-stelliges Zufalls-Login-Passwort, noch nutzt er File-Vault/Bitlocker, er macht kein tägliches Backup und er verliert auch mal sein Laptop oder sein Smartphone. Und das Ganze, ohne darüber nachzudenken, welche Bedeutung mittlerweile diese Geräte für und in unserem Leben haben.

Wer seine Haustür nicht abschließt, muss eben mit Fremdbesuch rechnen.

Aber das ist eine Grundsatzdiskussion, mit der man viel zu oft auf taube Ohren st\366ßt.

#13.1 - Akimo 11.01.2018 08:05 - (Antwort)

Hervorragender Kommentar. Dem schließe ich mich an.

#13.2 - DM 11.01.2018 14:03 - (Antwort)

Jupp genau so ist das...

#14 - XT2- KF 11.01.2018 16:36 - (Antwort)

Wenn man bei seinem Mac ich betone wenn man alle Sicherheits Einstellungen vernünftig eingestellt hat kann nichts passieren! Nicht immer gleich los jaulen wenn es einen selbst so gut wie überhaupt nicht betrifft das ist ein ganz geringer Prozentsatz wo das passiert der Zugriff auf ein vernünftig gesichert Mac ist so gut wie unmöglich.


Kommentar schreiben

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.