Logo von Mac & i

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.396 Produkten

Ben Schwan 76

Zweite Passwort-Lücke in macOS High Sierra

Zweite Passwort-Lücke in macOS High Sierra

Hier darf's auch ein beliebiges Passwort sein.

Bild: Screenshot via 9to5Mac

Nach dem schwerwiegenden Root-Fehler haben Nutzer ein zweites Passwortproblem in Apples aktuellem Mac-Betriebssystem gefunden: Die Einstellungen des Mac App Store lassen sich mit jeder beliebigen Zeichenkette öffnen.

Die Sicherheitslücken in macOS High Sierra scheinen kein Ende zu nehmen: Nach dem für Apple sehr peinlichen Root-Fehler wurde von Nutzern nun ein zwar weniger schlimmes, aber ähnliches Problem festgestellt.

Anzeige

Der Fehler betrifft die Anwendung Systemeinstellungen und dort den Karteireiter für den Mac App Store. Eigentlich sollte dieser nur gegen Eingabe eines Administratorpassworts für Veränderungen zugänglich sein. Es ist aber möglich, hier den Nutzernamen eines Administrators einzugeben und anschließend als Passwort jede beliebige Zeichenkette – das richtige muss es nicht sein. Nachvollziehbar scheint der Bug unter macOS 10.13, 10.13.1 sowie 10.13.2 zu sein.

Zur Ausnutzung des Bugs müssen einige Voraussetzungen erfüllt sein. So muss der eingeloggte Account, der die Sicherung umgeht, selbst ein Administrator sein, entsprechend muss der Angreifer auf den betreffenden Mac Zugriff haben und dieser wiederum offen sein, um die Systemeinstellungen aufzurufen.

In den App-Store-Einstellungen selbst lässt sich unter anderem festlegen, ob Einkäufe und In-App-Verkäufe ein Passwort benötigen oder ob für kostenlose Downloads das Passwort gespeichert werden soll. Zudem können Betatester den macOS-Betatest verlassen. Außerdem können die Updates im Mac App Store aufgerufen sowie – und das ist wohl am problematischsten – automatische Updates auch für sicherheitsrelevante Probleme (de)aktiviert werden. Angreifer könnten so verhindern, dass Fixes schnell auf den Rechner kommen. Denkbar wäre etwa, dass Malware die Lücke ausnutzt, die auf Maschinen im Administratorbetrieb ausgeführt wird; sie würde dann keine Passworteingabe benötigen.

Ein Nutzer hat den Fehler im offenen Bugtracking-System für Apple-Software, OpenRadar, bereits vor zwei Tagen öffentlich gemacht. Apple hat darauf bislang nicht reagiert. Allerdings berichten Entwickler, die die dritte oder vierte Beta von macOS 10.13.3 einsetzen, dass dort nicht mehr ein falsches Passworts genutzt werden kann, um auf die App-Store-Systemeinstellungen zuzugreifen.

Apple hatte im November eine noch deutlich schwerere Lücke in macOS High Sierra einräumen müssen. Dabei war es möglich, sich ohne Eingabe eines Passworts einen Root-Zugang zu verschaffen, was unter Umständen auch von außen möglich war. (bsc)

76 Kommentare

Themen:

Anzeige
  1. Root-Lücke in macOS High Sierra: Apple spielt Patch automatisch ein

    High Sierra

    Das schwerwiegende Problem, mit dem sich Macs äußerst leicht übernehmen lassen, wird bei Standardeinstellung ohne Zutun des Nutzers ausgebügelt – er muss nur etwas Geduld mitbringen.

  2. High-Sierra-Root-Lücke: Apple verspricht Abhilfe

    Apple-Logo

    Der Konzern will das schwere Sicherheitsproblem per Software-Update lösen, nennt aber noch keinen zeitlichen Rahmen.

  3. Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Ältere macOS-Versionen: Apple fixt heimlich schwerwiegende Lücke im Schlüsselbund

    Mit einem Security-Update für Sierra und El Capitan, das bereits Ende Oktober erschien, wurde auch ein böser Keychain-Bug behoben. Das hat Apple erst jetzt in den Releasenotes zur Aktualisierung klargestellt.

  4. Softwarequalität: Apples Horrorwoche

    Apple-Logo

    Erst eine schwerwiegende Root-Lücke in macOS High Sierra, dann ein iOS-Bug, der reihenweise iPhones zum Absturz brachte: Apple muss sich Fragen zu seiner Qualitätssicherung im Softwarebereich gefallen lassen.

  1. Pro & Contra: Tut Apple genug für die Sicherheit?

    In letzter Zeit häufen sich Berichte über Sicherheitslücken bei macOS und iOS. Reicht Apples Engagement, um seine Systeme sicher zu halten?

  2. Umsteigen von Windows auf den Mac

    Windows Mac Müllkorb

    Der Mac ist logischer, komfortabler, benötigt weniger Wartung und bietet das Beste aus beiden Welten – das sind nur einige der Argumente für den Wechsel. Mac & i zeigt auch, wie sich Windows-Umsteiger in macOS schnell zurechtfinden.

  3. Glossar: Die wichtigsten Begriffe rund um macOS

    In der Hintergrundreihe „macOS intern“ blickt Mac & i ab Heft 1/2017 hinter die Kulissen von Apples Desktop-Betriebssystem. Begleitend dazu stellen wir hier ein Glossar mit den wichtigsten Fachbegriffen zur Verfügung. Es wird mit jedem Artikel entsprechend erweitert.

  1. Test: Skoda Karoq 2.0 TDI

    Skoda Karoq

    Der neue Skoda Karoq ist eine Mixtur bekannter Zutaten, die einigen Konkurrenten schwer zu schaffen machen wird. Das Kompakt-SUV überrascht an keiner Stelle und wird vielleicht gerade deshalb gefragt sein. Im Test die sicher beliebte Kombination 2.0 TDI, DSG und Allradantrieb

  2. Alpina B7 Biturbo: Vor der Basis

    Alpina

    Der neue Alpina B7 Biturbo kommt vor dem ähnlich kräftigen BMW 760Li auf den Markt, setzt aber andere Akzente. Schon die Maschine unterscheidet sich: Alpina setzt auf einen Achtzylinder, BMW baut einen Zwölfzylinder ein

  3. Trump und Macron: Gegen die Hegemonie Irans den Nahen Osten neu ordnen

    Macron will nun auch die Atomvereinbarung mit Iran mit zusätzlichen Regelungen ergänzen. Dazu soll auch die "Präsenz Irans in der Region" verhandelt werden

  4. Mit aller Härte des Gesetzes gegen Antisemitismus?

    Wie Deutschland den Antisemitismus austreiben will und auch Linke und Liberale einen auf "Law and Order" machen. Kommentar

Anzeige