Ein bei Open Radar eingereichter Fehlerbericht hat eine Sicherheitslücke in macOS 10.13 High Sierra offenbart. Wie MacRumors berichtet, lässt sich das App-Store-Menü in den Systemeinstellungen ohne Eingabe eines Passworts freischalten.
Betroffen ist die aktuelle Version 10.13.2, wie Tests von CNET USA belegen. Um den Fehler zu reproduzieren, müssen lediglich die Systemeinstellungen geöffnet und auf App Store geklickt werden. Sollten die App-Store-Einstellungen geschützt sein, wird beim Klick auf das Schlosssymbol eine Passwortabfrage eingeblendet. Nach Eingabe des Nutzernamens und eines falschen Kennworts schaltet macOS High Sierra die App-Store-Einstellungen fälschlicherweise frei.
MacRumors konnte den Bug unter macOS Sierra 10.12.6 nicht reproduzieren. Auch ein ungepatchtes macOS High Sierra 13.0 gab bei Tests von ZDNet ohne Eingabe des korrekten Passworts die App-Store-Einstellungen nicht preis – der Fehler wurde also offenbar mit dem Update auf macOS High Sierra 10.13.1 oder 10.13.2 eingeführt.
Apple ist der Bug schon bekannt. Die aktuelle Beta für das kommende OS-Update Version 10.13.3 enthält dem Bericht zufolge einen Fix für die Lücke. Wahrscheinlich wird Apple die Aktualisierung noch in diesem Monat freigeben.
Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.
Es ist bereits die zweite Passwortlücke in Apples Desktop-Betriebssystem in weniger als drei Monaten. Ende November war bekannt geworden, dass sich der Passwortschutz von macOS High Sierra vollständig aushebeln lässt. Ein türkischer Entwickler namens Lemi Orhan Ergin hatte herausgefunden, dass sich das Root-Konto ohne Eingabe eines Passworts aktivieren lässt – unter Umständen sogar vom Anmeldebildschirm aus. Als Folge konnte ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac Übernehmen.
Kurz darauf veröffentlichte Apple das Sicherheitsupdate 2017-001, um die Anfälligkeit zu beseitigen. Wer den Patch allerdings vor einem Update auf die OS-Version 10.13.1 installierte, öffnete die Lücke durch den Umstieg auf High Sierra 10.13.1 erneut. Betroffene mussten nach Einspielen des Updates 10.13.1 einen Neustart durchführen und über den App Store erneut das Sicherheitsupdate 2017-001 auswählen.
Der Bug löste außerdem eine Diskussion über die Qualität von Apples Software-Updates aus, da die Root-Lücke die Folge eines offensichtlichen Programmierfehlers war. Apple selbst räumte ein, dass die Lücke durch einen Logikfehler bei der Überprüfung der Anmeldedaten geöffnet wurde.
Im Vergleich dazu ist der aktuelle Bug jedoch harmlos. Ab Werk sind die App-Store-Einstellungen von macOS High Sierra ungeschützt. Betroffen sind also nur Nutzer, die den Schutz manuell aktiviert haben. Ändern lassen sich über das Menü zudem nur Einstellungen zur automatischen Installation von Updates sowie zur Passwortabfrage bei Käufen und In-App-Käufen – somit könnte die Schwachstelle schlimmstenfalls dazu führen, dass unberechtigte Personen kostenpflichtige Apps installieren.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
[mit Material von Laura Hautala, News.com]
Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…