macOS High Sierra: neue Passwortlücke entdeckt

Sie gibt unter Umständen den Zugriff auf gesperrte Einstellungen für den App Store preis. Ab Werk sind diese Einstellungen jedoch für angemeldete Nutzer frei zugänglich. Die aktuelle Beta von macOS High Sierra 10.13.3 enthält offenbar einen Fix für die Schwachstelle.

Ein bei Open Radar eingereichter Fehlerbericht hat eine Sicherheitslücke in macOS 10.13 High Sierra offenbart. Wie MacRumors berichtet, lässt sich das App-Store-Menü in den Systemeinstellungen ohne Eingabe eines Passworts freischalten.

Betroffen ist die aktuelle Version 10.13.2, wie Tests von CNET USA belegen. Um den Fehler zu reproduzieren, müssen lediglich die Systemeinstellungen geöffnet und auf App Store geklickt werden. Sollten die App-Store-Einstellungen geschützt sein, wird beim Klick auf das Schlosssymbol eine Passwortabfrage eingeblendet. Nach Eingabe des Nutzernamens und eines falschen Kennworts schaltet macOS High Sierra die App-Store-Einstellungen fälschlicherweise frei.

Ein Fehler in macOS High Sierra 10.13.2 gibt ohne Eingabe eines gültigen Passworts die gesperrten Einstellungen für den App Store frei (Screenshot: ZDNet.de).Ein Fehler in macOS High Sierra 10.13.2 gibt ohne Eingabe eines gültigen Passworts die gesperrten Einstellungen für den App Store frei (Screenshot: ZDNet.de).

MacRumors konnte den Bug unter macOS Sierra 10.12.6 nicht reproduzieren. Auch ein ungepatchtes macOS High Sierra 13.0 gab bei Tests von ZDNet ohne Eingabe des korrekten Passworts die App-Store-Einstellungen nicht preis – der Fehler wurde also offenbar mit dem Update auf macOS High Sierra 10.13.1 oder 10.13.2 eingeführt.

Apple ist der Bug schon bekannt. Die aktuelle Beta für das kommende OS-Update Version 10.13.3 enthält dem Bericht zufolge einen Fix für die Lücke. Wahrscheinlich wird Apple die Aktualisierung noch in diesem Monat freigeben.

HIGHLIGHT

Zwei-Faktor-Authentifizierung: Mehr Sicherheit für Facebook, Twitter und andere Dienste

Fast täglich wird über den Verlust von Zugangsdaten berichtet. Gegen den Missbrauch dieser Daten können sich Anwender mit der Aktivierung einer Zwei-Faktor-Authentifizierung schützen. Wie das genau funktioniert, erläutert der folgende Artikel.

macOS High Sierra: erste Passwortlücke im November

Es ist bereits die zweite Passwortlücke in Apples Desktop-Betriebssystem in weniger als drei Monaten. Ende November war bekannt geworden, dass sich der Passwortschutz von macOS High Sierra vollständig aushebeln lässt. Ein türkischer Entwickler namens Lemi Orhan Ergin hatte herausgefunden, dass sich das Root-Konto ohne Eingabe eines Passworts aktivieren lässt – unter Umständen sogar vom Anmeldebildschirm aus. Als Folge konnte ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac Übernehmen.

Kurz darauf veröffentlichte Apple das Sicherheitsupdate 2017-001, um die Anfälligkeit zu beseitigen. Wer den Patch allerdings vor einem Update auf die OS-Version 10.13.1 installierte, öffnete die Lücke durch den Umstieg auf High Sierra 10.13.1 erneut. Betroffene mussten nach Einspielen des Updates 10.13.1 einen Neustart durchführen und über den App Store erneut das Sicherheitsupdate 2017-001 auswählen.

Der Bug löste außerdem eine Diskussion über die Qualität von Apples Software-Updates aus, da die Root-Lücke die Folge eines offensichtlichen Programmierfehlers war. Apple selbst räumte ein, dass die Lücke durch einen Logikfehler bei der Überprüfung der Anmeldedaten geöffnet wurde.

Im Vergleich dazu ist der aktuelle Bug jedoch harmlos. Ab Werk sind die App-Store-Einstellungen von macOS High Sierra ungeschützt. Betroffen sind also nur Nutzer, die den Schutz manuell aktiviert haben. Ändern lassen sich über das Menü zudem nur Einstellungen zur automatischen Installation von Updates sowie zur Passwortabfrage bei Käufen und In-App-Käufen – somit könnte die Schwachstelle schlimmstenfalls dazu führen, dass unberechtigte Personen kostenpflichtige Apps installieren.

ANZEIGE

Cloud-Managed IT für moderne Unternehmen

Moderne Netzwerke umspannen die ganze Welt und gewährleisten jedem im Unternehmen Zugriff auf Informationen. Durch die Einbindung neuer Technologien erweitert sich ihr Funktionsspektrum immer mehr. Das Internet hat neue Funktionen und Technologien hervorgebracht, für die allerdings eine durchgehende und zuverlässige Netzwerkanbindung erforderlich ist. Wie Sie mit der einfach zu verwaltenden Lösung Cisco Meraki für Cloud-Managed IT moderne, starke und zuverlässige Netzwerke erhalten, verrät Ihnen dieses Whitepaper.

[mit Material von Laura Hautala, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Authentifizierung, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu macOS High Sierra: neue Passwortlücke entdeckt

Kommentar hinzufügen
  • Am 12. Januar 2018 um 10:10 von Josef Kern

    Hi,
    Microsoft muss einem ja schon leid tun. Wie oft wollen sie denn noch die kostenlose Bezugszeit für
    ihr Windows 10 verlängern, nur um noch ein paar hundert davon loszuwerden?
    Hätte nicht gedacht, dass auch Apple solch schlechte Programmierer in ihren Reihen hat wie Microsoft.
    Wie lange braucht Apple eigentlich noch, um einzusehen, dass auch ihr High Sierra von vorne herein
    nichts anderes als Schrott war ?
    Aber warum nicht beide Gerätschaften, Microsoft und Apple, ganz schnell aus dem Fenster werfen ?

    • Am 12. Januar 2018 um 11:15 von Klaus sieht es ein

      Ja, ist natürlich schlimmer, wenn man sich als Administrator nach der Anmeldung selber austrickst (Apple Password Lücke), als wenn Microsoft mit einem Windows Update AMD Rechner lahmlegt, richtig?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *