Categories: MacWorkspace

macOS High Sierra: neue Passwortlücke entdeckt

Ein bei Open Radar eingereichter Fehlerbericht hat eine Sicherheitslücke in macOS 10.13 High Sierra offenbart. Wie MacRumors berichtet, lässt sich das App-Store-Menü in den Systemeinstellungen ohne Eingabe eines Passworts freischalten.

Betroffen ist die aktuelle Version 10.13.2, wie Tests von CNET USA belegen. Um den Fehler zu reproduzieren, müssen lediglich die Systemeinstellungen geöffnet und auf App Store geklickt werden. Sollten die App-Store-Einstellungen geschützt sein, wird beim Klick auf das Schlosssymbol eine Passwortabfrage eingeblendet. Nach Eingabe des Nutzernamens und eines falschen Kennworts schaltet macOS High Sierra die App-Store-Einstellungen fälschlicherweise frei.

Ein Fehler in macOS High Sierra 10.13.2 gibt ohne Eingabe eines gültigen Passworts die gesperrten Einstellungen für den App Store frei (Screenshot: ZDNet.de).

MacRumors konnte den Bug unter macOS Sierra 10.12.6 nicht reproduzieren. Auch ein ungepatchtes macOS High Sierra 13.0 gab bei Tests von ZDNet ohne Eingabe des korrekten Passworts die App-Store-Einstellungen nicht preis – der Fehler wurde also offenbar mit dem Update auf macOS High Sierra 10.13.1 oder 10.13.2 eingeführt.

Apple ist der Bug schon bekannt. Die aktuelle Beta für das kommende OS-Update Version 10.13.3 enthält dem Bericht zufolge einen Fix für die Lücke. Wahrscheinlich wird Apple die Aktualisierung noch in diesem Monat freigeben.

HIGHLIGHT

Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste

Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.

macOS High Sierra: erste Passwortlücke im November

Es ist bereits die zweite Passwortlücke in Apples Desktop-Betriebssystem in weniger als drei Monaten. Ende November war bekannt geworden, dass sich der Passwortschutz von macOS High Sierra vollständig aushebeln lässt. Ein türkischer Entwickler namens Lemi Orhan Ergin hatte herausgefunden, dass sich das Root-Konto ohne Eingabe eines Passworts aktivieren lässt – unter Umständen sogar vom Anmeldebildschirm aus. Als Folge konnte ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac Übernehmen.

Kurz darauf veröffentlichte Apple das Sicherheitsupdate 2017-001, um die Anfälligkeit zu beseitigen. Wer den Patch allerdings vor einem Update auf die OS-Version 10.13.1 installierte, öffnete die Lücke durch den Umstieg auf High Sierra 10.13.1 erneut. Betroffene mussten nach Einspielen des Updates 10.13.1 einen Neustart durchführen und über den App Store erneut das Sicherheitsupdate 2017-001 auswählen.

Der Bug löste außerdem eine Diskussion über die Qualität von Apples Software-Updates aus, da die Root-Lücke die Folge eines offensichtlichen Programmierfehlers war. Apple selbst räumte ein, dass die Lücke durch einen Logikfehler bei der Überprüfung der Anmeldedaten geöffnet wurde.

Im Vergleich dazu ist der aktuelle Bug jedoch harmlos. Ab Werk sind die App-Store-Einstellungen von macOS High Sierra ungeschützt. Betroffen sind also nur Nutzer, die den Schutz manuell aktiviert haben. Ändern lassen sich über das Menü zudem nur Einstellungen zur automatischen Installation von Updates sowie zur Passwortabfrage bei Käufen und In-App-Käufen – somit könnte die Schwachstelle schlimmstenfalls dazu führen, dass unberechtigte Personen kostenpflichtige Apps installieren.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

[mit Material von Laura Hautala, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

4 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

22 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago