Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.035 Produkten

Ben Schwan 76

Zweite Passwort-Lücke in macOS High Sierra

Zweite Passwort-Lücke in macOS High Sierra

Hier darf's auch ein beliebiges Passwort sein.

Bild: Screenshot via 9to5Mac

Nach dem schwerwiegenden Root-Fehler haben Nutzer ein zweites Passwortproblem in Apples aktuellem Mac-Betriebssystem gefunden: Die Einstellungen des Mac App Store lassen sich mit jeder beliebigen Zeichenkette öffnen.

Die Sicherheitslücken in macOS High Sierra scheinen kein Ende zu nehmen: Nach dem für Apple sehr peinlichen Root-Fehler wurde von Nutzern nun ein zwar weniger schlimmes, aber ähnliches Problem festgestellt.

Anzeige

Der Fehler betrifft die Anwendung Systemeinstellungen und dort den Karteireiter für den Mac App Store. Eigentlich sollte dieser nur gegen Eingabe eines Administratorpassworts für Veränderungen zugänglich sein. Es ist aber möglich, hier den Nutzernamen eines Administrators einzugeben und anschließend als Passwort jede beliebige Zeichenkette – das richtige muss es nicht sein. Nachvollziehbar scheint der Bug unter macOS 10.13, 10.13.1 sowie 10.13.2 zu sein.

Zur Ausnutzung des Bugs müssen einige Voraussetzungen erfüllt sein. So muss der eingeloggte Account, der die Sicherung umgeht, selbst ein Administrator sein, entsprechend muss der Angreifer auf den betreffenden Mac Zugriff haben und dieser wiederum offen sein, um die Systemeinstellungen aufzurufen.

In den App-Store-Einstellungen selbst lässt sich unter anderem festlegen, ob Einkäufe und In-App-Verkäufe ein Passwort benötigen oder ob für kostenlose Downloads das Passwort gespeichert werden soll. Zudem können Betatester den macOS-Betatest verlassen. Außerdem können die Updates im Mac App Store aufgerufen sowie – und das ist wohl am problematischsten – automatische Updates auch für sicherheitsrelevante Probleme (de)aktiviert werden. Angreifer könnten so verhindern, dass Fixes schnell auf den Rechner kommen. Denkbar wäre etwa, dass Malware die Lücke ausnutzt, die auf Maschinen im Administratorbetrieb ausgeführt wird; sie würde dann keine Passworteingabe benötigen.

Ein Nutzer hat den Fehler im offenen Bugtracking-System für Apple-Software, OpenRadar, bereits vor zwei Tagen öffentlich gemacht. Apple hat darauf bislang nicht reagiert. Allerdings berichten Entwickler, die die dritte oder vierte Beta von macOS 10.13.3 einsetzen, dass dort nicht mehr ein falsches Passworts genutzt werden kann, um auf die App-Store-Systemeinstellungen zuzugreifen.

Apple hatte im November eine noch deutlich schwerere Lücke in macOS High Sierra einräumen müssen. Dabei war es möglich, sich ohne Eingabe eines Passworts einen Root-Zugang zu verschaffen, was unter Umständen auch von außen möglich war. (bsc)

76 Kommentare

Themen:

Anzeige
  1. Root-Lücke in macOS High Sierra: Apple spielt Patch automatisch ein

    High Sierra

    Das schwerwiegende Problem, mit dem sich Macs äußerst leicht übernehmen lassen, wird bei Standardeinstellung ohne Zutun des Nutzers ausgebügelt – er muss nur etwas Geduld mitbringen.

  2. High-Sierra-Root-Lücke: Apple verspricht Abhilfe

    Apple-Logo

    Der Konzern will das schwere Sicherheitsproblem per Software-Update lösen, nennt aber noch keinen zeitlichen Rahmen.

  3. Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Mit einem Security-Update für Sierra und El Capitan, das bereits Ende Oktober erschien, wurde auch ein böser Keychain-Bug behoben. Das hat Apple erst jetzt in den Releasenotes zur Aktualisierung klargestellt.

  4. Softwarequalität: Apples Horrorwoche

    Apple-Logo

    Erst eine schwerwiegende Root-Lücke in macOS High Sierra, dann ein iOS-Bug, der reihenweise iPhones zum Absturz brachte: Apple muss sich Fragen zu seiner Qualitätssicherung im Softwarebereich gefallen lassen.

  1. Glossar: Die wichtigsten Begriffe rund um macOS

    In der Hintergrundreihe „macOS intern“ blickt Mac & i ab Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend dazu stellen wir hier ein Glossar mit den wichtigsten Fachbegriffen zur Verfügung. Es wird mit jedem Artikel entsprechend erweitert.

  2. Mac: Software-Update durchführen

    Du solltest regelmäßig Softwareupdates auf deinem Mac durchführen. Wir zeigen dir, wie du macOS aktualisierst.

  3. Apple-ID: FAQ zum Erstellen, Wechseln und Löschen des Benutzerkontos

    Apple ID verwalten

    Für alle Apple-Dienste ist eine Apple-ID notwendig, von iCloud über iMessage bis zum Einkauf im App Store und iTunes Store. Nutzer stolpern dabei immer wieder über Probleme – Mac & i hat Lösungen zusammengestellt.

  1. Test: Peugeot 308 SW BlueHDi

    Peugeot 308

    Peugeot bietet bereits erste Euro 6d-Motoren, etwa im überarbeiteten 308 SW. Wir fuhren ihn nach seiner in optischer Hinsicht zum Glück nicht weiter erwähnenswerten Modellpflege mit der Zweiliter-Diesel-Motorisierung

  2. Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Fuchsia: Bilder zeigen Googles drittes OS in Aktion

    Googles Fuchsia ist ein Betriebssystem mit eigenem Kernel und kommt als Android-Nachfolger in Frage. Erste Bilder zeigen es im Betrieb auf einem Pixelbook.

  3. Alexa-Sprachsteuerung kommt auf PCs und Smartphones

    Alexa-Sprachsteuerung kommt auf den PC

    Amazon will seine Sprachsteuerung auf PCs und Smartphones bringen. Eine Erweiterung, die das auf Android-Geräten umsetzt, wird bereits in den nächsten Tagen erwartet.

  4. Facebook-"Wahrheitsprüfer" Correctiv verstrickt sich in Widersprüche

    Die Faktenchecker von Correctiv können bislang nicht sagen, nach welchen Kriterien sie "Fake News" auf Facebook kennzeichnen wollen

Anzeige