Ein bei Open Radar eingereichter Fehlerbericht hat eine Sicherheitslücke in macOS 10.13 High Sierra offenbart. Wie MacRumors berichtet, lässt sich das App-Store-Menü in den Systemeinstellungen ohne Eingabe eines Passworts freischalten.
Betroffen ist die aktuelle Version 10.13.2, wie Tests von CNET USA belegen. Um den Fehler zu reproduzieren, müssen lediglich die Systemeinstellungen geöffnet und auf App Store geklickt werden. Sollten die App-Store-Einstellungen geschützt sein, wird beim Klick auf das Schlosssymbol eine Passwortabfrage eingeblendet. Nach Eingabe des Nutzernamens und eines falschen Kennworts schaltet macOS High Sierra die App-Store-Einstellungen fälschlicherweise frei.
MacRumors konnte den Bug unter macOS Sierra 10.12.6 nicht reproduzieren. Auch ein ungepatchtes macOS High Sierra 13.0 gab bei Tests von ZDNet ohne Eingabe des korrekten Passworts die App-Store-Einstellungen nicht preis – der Fehler wurde also offenbar mit dem Update auf macOS High Sierra 10.13.1 oder 10.13.2 eingeführt.
Apple ist der Bug schon bekannt. Die aktuelle Beta für das kommende OS-Update Version 10.13.3 enthält dem Bericht zufolge einen Fix für die Lücke. Wahrscheinlich wird Apple die Aktualisierung noch in diesem Monat freigeben.
Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste
Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.
macOS High Sierra: erste Passwortlücke im November
Es ist bereits die zweite Passwortlücke in Apples Desktop-Betriebssystem in weniger als drei Monaten. Ende November war bekannt geworden, dass sich der Passwortschutz von macOS High Sierra vollständig aushebeln lässt. Ein türkischer Entwickler namens Lemi Orhan Ergin hatte herausgefunden, dass sich das Root-Konto ohne Eingabe eines Passworts aktivieren lässt – unter Umständen sogar vom Anmeldebildschirm aus. Als Folge konnte ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac Übernehmen.
Kurz darauf veröffentlichte Apple das Sicherheitsupdate 2017-001, um die Anfälligkeit zu beseitigen. Wer den Patch allerdings vor einem Update auf die OS-Version 10.13.1 installierte, öffnete die Lücke durch den Umstieg auf High Sierra 10.13.1 erneut. Betroffene mussten nach Einspielen des Updates 10.13.1 einen Neustart durchführen und über den App Store erneut das Sicherheitsupdate 2017-001 auswählen.
Der Bug löste außerdem eine Diskussion über die Qualität von Apples Software-Updates aus, da die Root-Lücke die Folge eines offensichtlichen Programmierfehlers war. Apple selbst räumte ein, dass die Lücke durch einen Logikfehler bei der Überprüfung der Anmeldedaten geöffnet wurde.
Im Vergleich dazu ist der aktuelle Bug jedoch harmlos. Ab Werk sind die App-Store-Einstellungen von macOS High Sierra ungeschützt. Betroffen sind also nur Nutzer, die den Schutz manuell aktiviert haben. Ändern lassen sich über das Menü zudem nur Einstellungen zur automatischen Installation von Updates sowie zur Passwortabfrage bei Käufen und In-App-Käufen – somit könnte die Schwachstelle schlimmstenfalls dazu führen, dass unberechtigte Personen kostenpflichtige Apps installieren.
So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Laura Hautala, News.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Neueste Kommentare
2 Kommentare zu macOS High Sierra: neue Passwortlücke entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Hi,
Microsoft muss einem ja schon leid tun. Wie oft wollen sie denn noch die kostenlose Bezugszeit für
ihr Windows 10 verlängern, nur um noch ein paar hundert davon loszuwerden?
Hätte nicht gedacht, dass auch Apple solch schlechte Programmierer in ihren Reihen hat wie Microsoft.
Wie lange braucht Apple eigentlich noch, um einzusehen, dass auch ihr High Sierra von vorne herein
nichts anderes als Schrott war ?
Aber warum nicht beide Gerätschaften, Microsoft und Apple, ganz schnell aus dem Fenster werfen ?
Ja, ist natürlich schlimmer, wenn man sich als Administrator nach der Anmeldung selber austrickst (Apple Password Lücke), als wenn Microsoft mit einem Windows Update AMD Rechner lahmlegt, richtig?