Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke in OS X Yosemite, Mavericks und Mountain Lion entdeckt

Sicherheitsforscher von TrueSec haben eine schwerwiegende Sicherheitslücke in OS X 10.10 Yosemite, 10.9 Mavericks und 10.8 Moutain Lion entdeckt. Angreifer können über die Lücke "rootpipe" vollständige Zugriffsrechte auf alle Bereiche des Systems erlangen, wenn man als Admin-Nutzer angemeldet ist, was im Auslieferungszustand leider standardmäßig der Fall ist. Für einen erfolgreichen Angriff ist es nur noch notwendig, eine weitere Sicherheitslücke im Web-Browser oder Web-Plugins zu nutzen, um dann die schädlichen Programmanweisungen für die vollständige Kontrolle einzuschleusen.


Apple soll laut TrueSec bereits vor zwei Wochen von dem Sicherheitsproblem in Kenntnis gesetzt worden sein und habe die Lücke indirekt bestätigt. Mit Apple habe TrueSec eigenen Angaben zufolge einen Zeitpunkt im Januar vereinbart, ab dem weitere Details zur Sicherheitslücke veröffentlicht werden können, die im Zusammenhang mit dem Befehl "sudo" steht. Bis dahin wird Apple voraussichtlich eine entsprechende Aktualisierung veröffentlicht haben, um das Problem zu beheben.

Bis dahin kann man sich schützen, indem man vorwiegend als normaler Nutzer ohne Admin-Rechte arbeitet. Dazu ist es notwendig, einen neuen Admin-Nutzer in den Systemeinstellungen anzulegen. Anschließend muss man sich mit dem neuen Admin-Nutzer anmelden und in den Systemeinstellungen dem Hauptnutzer die Admin-Reche entziehen.

Weiterführende Links:

Kommentare

beachtimer03.11.14 08:56
wieso ist das "wenn man als Admin-Nutzer angemeldet ist, was standardmäßig der Fall ist" standard?

kann mir das jemand erklären? normalerweise hat man ein adminkonto und ein konto mit eingeschränkten rechten! und mit dem letzteren wird produktiv gearbeitet ..... ?
0
Macmissionar03.11.14 09:01
Dies sollte immer, ausnahmslos immer, der Fall sein. Ich weiß nicht, wie viele Macs ich schon für Bekannte und Verwandte neu eingerichtet habe, aber immer wird der frisch angelegte Admin-Account nur dazu verwendet, einen Benutzer-Account einzurichten. Ich sage den Leuten immer, dies mache ich auch so und hat nichts mit Bevormundung zu tun, sondern alles, was man selbst falsch darf, dürfen auch "böse Programme" tun. Die meisten kamen immer schon damit zurecht.
A Mac is like a Wigwam: No Windows, no Gates, no Backdoors, Peace, Harmony – and an Apache inside.
0
Macmissionar03.11.14 09:03
beachtimer
Standard meint hier, was Apple ausliefert. Und ein frisch ausgepackter Mac richtet nur ein Konto ein, was dann eben Admin-Rechte hat. Jeder Benutzer, Neukäufer, muß es selbst machen. Aber eigentlich sollte das zum Grundwissen gehören oder vom Verkäufer empfohlen – so wie man auch einen Führerschein macht, um Auto fahren zu können, aber man selbst bei einem Neukauf wissen sollte, nicht sofort Vollgas geben zu dürfen … tja.
A Mac is like a Wigwam: No Windows, no Gates, no Backdoors, Peace, Harmony – and an Apache inside.
0
MacDub03.11.14 09:16
Macmissionar

Als Grundwissen kann man das sicher nicht voraussetzen. Deshalb sollte zu Anfang automatisch ein User-Account beim Einrichten erstellt werden und nicht, wie derzeit bei Apple üblich, ein Admin Account.
Der Durchschnitts-Hobbyuser, der beruflich nichts mit Technik am Hut hat, hat so gut wie keine Ahnung von Computern. Um so etwas als Grundwissen vorauszusetzen, müsste man dann auch einen gesetzlich verpflichteten "Computerführerschein" einführen.
0
Marcel Bresink03.11.14 09:19
Was ihr hier behauptet, war eigentlich nur bis einschließlich Mac OS X 10.6.8 richtig. Ab Mac OS X 10.7 hat Apple die Berechtigungen der Admin-Gruppe so degradiert, dass es in der Praxis so gut wie keinen Unterschied zwischen Administratoren und Nicht-Administratoren mehr gab. Das Anlegen eines zusätzlichen Benutzer-Accounts wurde daher überflüssig.

Zu den wenigen Unterschieden, die es aber doch noch gibt, zählt die Rechtebehandlung bei der Verwendung des "sudo"-Befehls. Und um genau den geht es jetzt. Durch diese Lücke wird es jetzt wieder sinnvoll, die Accounts zu trennen.
0
xillu
xillu03.11.14 09:44
Auch wenn man mit einem Admin-Account angemeldet ist, werden doch nicht ungefragt und ohne Eingabe eines Kennwortes irgendwelche systemnahen Einstellungen verändert?!?

Oder doch?

Es scheint sich ja auch um ZWEI Sicherheitslücken zu handeln:
1. Lücke "rootpipe
2. Für einen erfolgreichen Angriff ist es nur noch notwendig, eine weitere Sicherheitslücke im Web-Browser oder Web-Plugins zu nutzen

Was denn nu....?
0
verstaerker
verstaerker03.11.14 09:51
seh ich das richtig das diese Lücke seit mehreren Jahren besteht?
Muss ja hochgefährlich sein ... ich hatte seit 2008 keinen einzigen Fall wo irgendjemand auf meinem System irgendwas gemacht hat
0
fabisworld
fabisworld03.11.14 10:05
Bis dahin kann man sich schützen, indem man vorwiegend als normaler Nutzer ohne Admin-Rechte arbeitet. Dazu ist es notwendig, einen neuen Admin-Nutzer in den Systemeinstellungen anzulegen. Anschließend muss man sich mit dem neuen Admin-Nutzer anmelden und in den Systemeinstellungen dem Hauptnutzer die Admin-Reche entziehen.

So handhabe ich das bereits seit Jahren ... und empfehle es aus ganz grundsätzlichen Gründen heraus auch jedem!
0
Goog03.11.14 10:44
verstaerker
seh ich das richtig das diese Lücke seit mehreren Jahren besteht?
Muss ja hochgefährlich sein ... ich hatte seit 2008 keinen einzigen Fall wo irgendjemand auf meinem System irgendwas gemacht hat

Vermutlich ist dein Computer für niemanden interessant. Dann passiert auch nichts. Warum auch.
0
g-kar03.11.14 10:46
Yep, sehe ich auch so. Ein Admin-Account hat zwar nicht ohne Passworteingabe Root-Rechte, aber schon allein, dass sein eigenes Passwort genügt, um sich Root-Rechte zu verschaffen, gibt weniger Sicherheit als ein User-Account, der seine Rechte nicht eigenständig ausweiten kann. Die Wahrscheinlichkeit, dass eine Sicherheitslücke die Umgehung dieser Kennworteingabe ermöglicht, ist m.E. deutlich größer als die Wahrscheinlichkeit, dass sich ein Prozess in einem normalen Benutzerkonto Root-Rechte holen könnte. Sudo zumindest kann dann nicht ausgenutzt werden.
Daher ist es auch für mich seit Jahren Standard, mit einem normalen User-Account und nicht als Admin zu arbeiten.
0
nowMAC03.11.14 11:50
Ich hatte auch immer zwei User im Einsatz. Dann hatte ich aber vor Jahren Probleme bei irgendeinem Programm (kann mich nicht mehr erinnern welches es war) und hab mein User wieder auf Admin geändert. Eigentlich sollte es ja so auch gehen, schließlich ist es mehr oder weniger so von Apple vorgesehen.
Ne Ne, seit Steve Jobs nicht mehr da ist....
0
nahtanoj9603.11.14 14:27
Auf die Idee nicht mit dem Admin zu arbeiten wäre ich jetzt nie gekommen :O

Wo ICH doch Besitzer, Nutzer und somit "Administrator" des Macs bin...
Hmm, werde ich das wohl mal machen müssen... Das ist doch eigentlich lächerlich, dass ich als Besitzer einen degradierten Account benutzen soll?
Ich will niemanden angreifen, der das so macht, anscheinend ist es ja nötig, und jetzt bin ich auch am überlegen
0
PaulMuadDib03.11.14 14:47
nahtanoj96
Das ist doch eigentlich lächerlich, dass ich als Besitzer einen degradierten Account benutzen soll?
Das ist nicht lächerlich, sondern gängige Praxis. Da führt kein Weg dran vorbei. Bei keinem OS.
0
dom_beta03.11.14 15:32
Gedenkt Apple diese Lücken in seinen OS zu fixen?
...
0
tjost
tjost03.11.14 15:52
das scheint wieder so ein Ding zu sein wo man direkt am Rechner sitzen muss.
Ich denke nicht das es sich um eine gefährliche Lücke handelt. Seit 2002 hatte ich niemals ein Problem
0
zod198803.11.14 18:31
dom_beta
Gedenkt Apple diese Lücken in seinen OS zu fixen?

Was für ne dumme Frage. Ja, natürlich wird sie in allen aktuellen Systemen behoben.
0
dom_beta03.11.14 19:36
also nur 10.10
...
0
crass5303.11.14 21:51
Wunderbar theoretische Diskussion, aber was bringt man den Teilnehmern eines Mac-Kurse an der VHS bei? 1. Kurstag: Installation von Programmen, die nicht durch Apple autorisiert wurden.
1 Woche später: VLC installieren. Geht nicht. Geübt. aufgeschrieben und vergessen. Bei den vielen Kleinigkeiten, die man als Administrator zwischendurch mal macht, wäre der Anfänger mit einem normalen Benutzerkonto hoffnungslos überfordert. Das einzige, was auf Anhieb klappt, ist das Benutzerkonto für die Partnerin, mit Kindersicherung und gesperrtem Zalando.
0
Hannes Gnad
Hannes Gnad03.11.14 23:03
dom_beta
also nur 10.10
Aktuell "supported" sind 10.8.5, 10.9.5 und 10.10.0.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.