Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Kritische Lücke: Apple veröffentlicht wichtiges Sicherheitsupdate

Mit macOS 10.13 High Sierra schlich sich eine Sicherheitslücke ins System ein, die unbefugten Vollzugriff auf das System ermöglicht. Auch in der momentan verfügbaren Entwicklerversion von macOS 10.13.2 ist der Fehler noch vorhanden. Betroffen sind alle Macs, auf denen die Funktion "Gast-Benutzer" aktiviert ist. Über die Einstellungen in "Benutzer & Gruppen" ist es möglich, auch ohne Kenntnis des Kennworts als Gastbenutzer neue Administratoren-Konten samt Passwörtern hinzuzufügen. Diese haben dann wiederum alle Rechte, um nach Belieben im System zu wildern oder Daten zu entführen. Allerdings wäre es dazu natürlich erforderlich, Zugang zum Mac zu erhalten.


Apple meldete sich umgehend nach Bekanntwerden des Problems zu Wort und versprach, schnellstmöglich ein Update zur Verfügung zu stellen. Es werde bereits daran gearbeitet, hieß es am Dienstag. Dies ist nun offensichtlich geschehen, denn in der Software-Aktualisierung des Mac App Stores taucht soeben ein Sicherheitsupdate auf. Dieses trägt die Bezeichnung "Security Update-001". Apple dokumentiert zwar in der Updatebeschreibung nicht, worum es sich handelt - schon alleine angesichts des Timings ist es aber wohl mehr als klar, welchen Fehler die Aktualisierung adressiert. In einem Support-Dokument führt Apple an, ein Logikfehler habe dazu geführt, dass die Überprüfung der Nutzerdaten nicht funktionierte.

Angesichts der Schwere dieser Sicherheitslücke ist jedem Nutzer von macOS 10.13 High Sierra dringend zu empfehlen, die Aktualisierung vorzunehmen. Selbst wer ausschließen kann, dass fremde Personen sich am Mac zu schaffen machen können, sollte das Update dennoch vornehmen.
Auch wenn Sicherheitsprobleme dieser Größenordnung natürlich peinlich für den Hersteller sind, bleibt dennoch Apples rasche Reaktion zu loben - sowohl in Form der schnellen Stellungnahme als auch des zügig freigegebenen Bugfix-Updates. Die Uhrzeit des Updates dokumentiert, wie eilig es Apple war, das Sicherheitsupdate zu verteilen. Normalerweise erscheinen Aktualisierungen nämlich immer frühestens um 19 Uhr unserer Zeit - und nicht schon um 17:15 Uhr.

Aktualisierung:
Offenbar war die Update-Routine zunächst fehlerhaft, denn Apple hat in der Nacht das Sicherheitsupdate nochmals aktualisiert.
AirPower lädt Apple Watch: Vorgang erstmals in Video festgehalten
AirPower lädt Apple Watch: Vorgang erstmals in ...
Netflix-CEO: Deswegen wird die Apple Vision Pro nicht unterstützt
Netflix-CEO: Deswegen wird die Apple Vision Pro...
macOS 14.4.1 erschienen
macOS 14.4.1 erschienen
MacStammbaum 10.3 erschienen – "Suche" ganz neu gedacht
MacStammbaum 10.3 erschienen – "Suche" ganz neu...
Wie lange wird Intel noch unterstützt?
Wie lange wird Intel noch unterstützt?
WWDC 2024 angekündigt!
WWDC 2024 angekündigt!
Test Swarovski AX Visio
Test Swarovski AX Visio
Warum Apple den GameBoy-Emulator iGBA direkt wieder aus dem Store warf
Warum Apple den GameBoy-Emulator iGBA direkt wi...

Kommentare

Tomboman29.11.17 17:24
Na wenigstens ging das schnell. Trotzdem immer noch echt Wahnsinn, dass so ein Fehler überhaupt passieren konnte....
+2
nane
nane29.11.17 17:25
whow... das nenne ich mal "schnelle Reaktion" +1
Wo Menschen arbeiten, passieren halt auch Fehler. Das ist manchmal nervig, doch wenn die Reaktion so "zackig" ist. Schwamm drüber
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
+5
aMacUser
aMacUser29.11.17 17:25
MTN
Betroffen sind alle Macs, auf denen die Funktion "Gast-Benutzer" aktiviert ist.
Das wäre ja beim mir kein Problem, wenn dieser blöde Benutzer nicht nach jedem blöden Systemupdate von alleine wieder aktiviert werden würde!
+6
aMacUser
aMacUser29.11.17 17:27
MTN
Apple dokumentiert zwar in der Updatebeschreibung nicht, worum es sich handelt
Es hilft, wenn man den Security-Newsletter bekommt:
Apple
Security Update 2017-001 is now available and addresses the
following:

Directory Utility
Available for: macOS High Sierra 10.13.1
Not impacted: macOS Sierra 10.12.6 and earlier
Impact: An attacker may be able to bypass administrator
authentication without supplying the administrator’s password
Description: A logic error existed in the validation of credentials.
This was addressed with improved credential validation.
CVE-2017-13872
+4
MikeMuc29.11.17 17:34
aMacUser
Dann setze ein eigenes Paßwort und es kann dir egal sein:-)
-2
Wurzenberger
Wurzenberger29.11.17 17:37
1 schnelles Update vong Geschwindigkeit her
+3
aMacUser
aMacUser29.11.17 17:55
MikeMuc
aMacUserDann setze ein eigenes Paßwort und es kann dir egal sein:-)
Trotzdem nervt es, wenn da ständig der Gast-User angezeigt wird.
+2
Serge
Serge29.11.17 17:56
MTN
Betroffen sind alle Macs, auf denen die Funktion "Gast-Benutzer" aktiviert ist.
Hmm, nein. Leider sind auch Systeme betroffen, auf denen der Gast-Benutzer nicht aktiviert ist.
+5
Axel729.11.17 17:59
Meines Wissens nur Gastbenutzer oder Systeme bei denen sich der Benutzer nicht abgemeldet hat.
0
shotekitehi
shotekitehi29.11.17 18:06
komisch - kein Neustart erforderlich
Auf der Schachtel stand: ‘Benötigt Windows XP oder besser’. Also habe ich mir einen Mac gekauft.
0
Dag0d29.11.17 18:07
Verstehe die auffuhr nicht. Kann ich dir mit jedem Mac seit glaube 10.5 machen...
1. singleusermode
2. paar filesystem Befehle
3. .applesetupdone löschen
4. Neustarten und neuen Admin User anlegen.
5. ??????
6. Profit?!
-7
padlock962
padlock96229.11.17 18:13
Dag0d
Verstehe die auffuhr nicht. Kann ich dir mit jedem Mac seit glaube 10.5 machen...
1. singleusermode
2. paar filesystem Befehle
3. .applesetupdone löschen
4. Neustarten und neuen Admin User anlegen.
5. ??????
6. Profit?!

Dafür gibt es den Firmwareschutz. Dann ist das Starten im singleuser nicht möglich.
+2
Memmnarch29.11.17 18:17
Ich hab auf dem mini immer noch 10.12, das funktioniert ohne Probleme. Warum sollte ich das etwas ändern ? Das neue OS scheint ja ziemlich verbuggt zu sein.
-9
subjore29.11.17 19:38
Memmnarch
Ich hab auf dem mini immer noch 10.12, das funktioniert ohne Probleme. Warum sollte ich das etwas ändern ? Das neue OS scheint ja ziemlich verbuggt zu sein.

Ab heute ist es nicht mehr verbuggt
+2
sierkb29.11.17 20:16
Medium, Lemi Orhan Ergin (29.11.2017): The Story Behind “anyone can login as root” Tweet
After my tweet about the security issue of MacOS High Sierra on Nov 28, I got many reactions like a blast. I think I need to express myself further about the story of how we noticed the issue and my intention behind the tweet I posted yesterday that went viral. […]
-3
MacRudi29.11.17 20:27
Ich bekomme für die Public Beta 5 noch kein Sicherheitsupdate angezeigt
+2
aMacUser
aMacUser29.11.17 20:35
MacRudi
Ich bekomme für die Public Beta 5 noch kein Sicherheitsupdate angezeigt
In der Beta wird das vermutlich in dem nächsten Beta-Update drin sein.
+3
MacRudi29.11.17 21:31
Na dann …
0
exi
exi29.11.17 21:32
So Apple - damit so'n Lapsus nicht wieder passiert, guckt lieber nochmal gründlich über die paar Zeilen Code. Ich möchte in naher Zukunft auf HiSierra umsteigen. Böse Überraschungen brauche ich da so dringend wie 'ne Beule am Kopp.
0
Dag0d29.11.17 21:45
padlock962
Dafür gibt es den Firmwareschutz. Dann ist das Starten im singleuser nicht möglich.

Richtig, aber mit dem Firmwareschutz ist auch diese Lücke wirkungslos, außer du bist im Ruhezustand.
0
sierkb29.11.17 22:14
Reuters (29.11.2017): Apple to audit development processes after Mac bug discovered
0
phatejack
phatejack30.11.17 01:30
Dafür scheint jetzt Filesharing Probleme zu haben...
https://forums.macrumors.com/threads/security-update-2017-00 1-breaks-file-sharing.2091913/
+1
tangoloco30.11.17 01:55
Paches als update zu bezeichnen ist doof.
... sehr veraltete mentale Schaltkreise lassen Menschen überall geheimnisvolle Kräfte vermuten
0
MacRudi30.11.17 03:06
Anklickbarer Link zu Macrumors
+1
sierkb30.11.17 03:12
phatejack
Dafür scheint jetzt Filesharing Probleme zu haben...
https://forums.macrumors.com/threads/security-update-2017-00 1-breaks-file-sharing.2091913/

Apple Support Document HT208317 (29.11.2017): Repair file sharing after Security Update 2017-001 for macOS High Sierra 10.13.1
If file sharing doesn’t work after you install Security Update 2017-001, follow these steps.
+2
motiongroup30.11.17 05:45
Cool das perlt aber so richtig
wer nen roten Daumen über hat.. darüber plaudern ist nicht so euer Ding gell
0
eliot30.11.17 06:37
Lol, irgendwie scheinen sie das zweimal auszuliefern:


Pfusch am Bau?
+2
motiongroup30.11.17 07:30
es gibt auch eine aktuellere Version als die 1002, die 1003 ..

hab bei einem noch die 1002.. Wayne kümmerts
wer nen roten Daumen über hat.. darüber plaudern ist nicht so euer Ding gell
0
matt.ludwig30.11.17 08:51
Tomboman
Na wenigstens ging das schnell. Trotzdem immer noch echt Wahnsinn, dass so ein Fehler überhaupt passieren konnte....
2 Wochen ist jetzt nicht gerade schnell
+1
sahnehering30.11.17 08:52
Ne... schnell war das wirklich nicht, wenn das stimmt: https://www.heise.de/mac-and-i/meldung/Root-fuer-jeden-Schwa chstelle-in-macOS-High-Sierra-schon-laenger-oeffentlich-3904 542.html
Kein Backup, kein Mitleid
+2
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.