macOS High Sierra leidet an neuer Passwortlücke

AuthentifizierungSicherheit

In macOS High Sierra lässt sich das App-Store-Menü in den Systemeinstellungen ohne Eingabe eines Passworts freischalten.

Ein bei Open Radar eingereichter Fehlerbericht hat eine Sicherheitslücke in macOS 10.13 High Sierra offenbart. Wie MacRumors berichtet, lässt sich das App-Store-Menü in den Systemeinstellungen ohne Eingabe eines Passworts freischalten.

Ein Fehler in macOS High Sierra 10.13.2 gibt ohne Eingabe eines gültigen Passworts die gesperrten Einstellungen für den App Store frei (Screenshot: ZDNet.de).
Ein Fehler in macOS High Sierra 10.13.2 gibt ohne Eingabe eines gültigen Passworts die gesperrten Einstellungen für den App Store frei. (Screenshot: ZDNet.de)

Betroffen ist die aktuelle Version 10.13.2, wie Tests von CNET USA belegen. Um den Fehler zu reproduzieren, müssen lediglich die Systemeinstellungen geöffnet und auf App Store geklickt werden. Sollten die App-Store-Einstellungen geschützt sein, wird beim Klick auf das Schlosssymbol eine Passwortabfrage eingeblendet. Nach Eingabe des Nutzernamens und eines falschen Kennworts schaltet macOS High Sierra die App-Store-Einstellungen fälschlicherweise frei.

MacRumors konnte den Bug unter macOS Sierra 10.12.6 nicht reproduzieren. Auch ein ungepatchtes macOS High Sierra 13.0 gab bei Tests von ZDNet ohne Eingabe des korrekten Passworts die App-Store-Einstellungen nicht preis – der Fehler wurde also offenbar mit dem Update auf macOS High Sierra 10.13.1 oder 10.13.2 eingeführt.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Apple ist der Bug schon bekannt. Die aktuelle Beta für das kommende OS-Update Version 10.13.3 enthält dem Bericht zufolge einen Fix für die Lücke. Wahrscheinlich wird Apple die Aktualisierung noch in diesem Monat freigeben.

macOS High Sierra: erste Passwortlücke im November

Es ist bereits die zweite Passwortlücke in Apples Desktop-Betriebssystem in weniger als drei Monaten. Ende November war bekannt geworden, dass sich der Passwortschutz von macOS High Sierra vollständig aushebeln lässt. Ein türkischer Entwickler namens Lemi Orhan Ergin hatte herausgefunden, dass sich das Root-Konto ohne Eingabe eines Passworts aktivieren lässt – unter Umständen sogar vom Anmeldebildschirm aus. Als Folge konnte ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac Übernehmen.

Kurz darauf veröffentlichte Apple das Sicherheitsupdate 2017-001, um die Anfälligkeit zu beseitigen. Wer den Patch allerdings vor einem Update auf die OS-Version 10.13.1 installierte, öffnete die Lücke durch den Umstieg auf High Sierra 10.13.1 erneut. Betroffene mussten nach Einspielen des Updates 10.13.1 einen Neustart durchführen und über den App Store erneut das Sicherheitsupdate 2017-001 auswählen.

Ausgewähltes Whitepaper

Fünf wichtige Aspekte bei der Auswahl eines Wide Area Networks

Erfolgreiches Netz-Design kann die Produktivität deutlich verbessern und neue Chancen für die digitale Geschäftsentwicklung eröffnen. Ein unzureichend dimensioniertes WAN hemmt dagegen das produktive Arbeiten und führt zu Frustration bei Mitarbeitern, Lieferanten und Kunden. In diesem Whitepaper erfahren Sie, worauf es zu achten gilt.

Der Bug löste außerdem eine Diskussion über die Qualität von Apples Software-Updates aus, da die Root-Lücke die Folge eines offensichtlichen Programmierfehlers war. Apple selbst räumte ein, dass die Lücke durch einen Logikfehler bei der Überprüfung der Anmeldedaten geöffnet wurde.

Im Vergleich dazu ist der aktuelle Bug jedoch harmlos. Ab Werk sind die App-Store-Einstellungen von macOS High Sierra ungeschützt. Betroffen sind also nur Nutzer, die den Schutz manuell aktiviert haben. Ändern lassen sich über das Menü zudem nur Einstellungen zur automatischen Installation von Updates sowie zur Passwortabfrage bei Käufen und In-App-Käufen – somit könnte die Schwachstelle schlimmstenfalls dazu führen, dass unberechtigte Personen kostenpflichtige Apps installieren.

[mit Material von Laura Hautala, News.com]

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Lesen Sie auch :