"nur noch". Ich behaupte mal ganz dreist das dies die Mehrheit aller Macs sein dürfte.
Selbst in Unternehmen die MDM einsetzten wird es genug Rechner geben die aus welchen Gründen auch immer kein aktuelles 10.13.6 haben und auch keines bekommen.

Präsentation bzw. Präsentationsfolien dazu:

BlackHat 2018, 09.08.2018: Jesse Endahl, Max Bélanger: A Deep Dive into macOS MDM (and How it can be Compromised) , Präsentationsfolie (PDF), White Paper dazu: (PDF)

Desweiteren gewesene BlackHat 2018-Präsentationen mit macOS bzw. iOS-Bezug:

BlackHat 2018, 08.08.2018: Liang Chen: KeenLab iOS Jailbreak Internals: Userland Read-Only Memory can be Dangerous

BlackHat 2018, 09.08.2018: Patrick Wardle: Fire & Ice: Making and Breaking macOS Firewalls (er wird seine Präsentations-Folien in den nächsten Stunden sicher auch noch online stellen zum Nachlesen)

Parallel von ihm diese begrüßenswerte Ankündigung per Twitter: , :

"Objective by the Sea" a new Mac Security Conference, Nov 3rd/4th in Maui Hawaii

BlackHat 2018, 09.08.2018: Ian Beer: A Brief History of Mitigation: The Path to EL1 in iOS 11 , Präsentation heute als im Browser klickbares Google Docs-Dokument online gestellt, wie heute per Twitter von ihm zu entnehmen: RELEASE: path to EL1 in iOS 11 . Lohnt sich wirklich, da mal durchzuklicken und aufmerksam zu lesen, was er anzumerken und zu sagen hat. Erhellend. Kann ich nur empfehlen.

Besonders Ian Beers Präsentation und Worte in Richtung Apple hat Wellen geschlagen, u.a.:

threatpost (09.08.2018): Black Hat 2018: Google Bug Hunter Urges Apple to Change its iOS Security Culture
Project Zero researcher highlights stubborn iOS bugs as an example of why Apple and the rest of the industry needs to take a fresh approach to securing systems.

Motherboard (09.08.2018): Google Hacker Asks Tim Cook to Donate $2.45 Million In Unpaid iPhone Bug Bounties
A Google security researcher says that he's found 30 vulnerabilities in iOS that have made Apple's software more secure—and he wants the company to pay up.

heise (09.08.2018): Bug Bounty: Google-Hacker fordert Millionen von Apple ein
Apple unternehme zu wenig, um kritische Bugs in iOS zu beseitigen, moniert ein auf iPhone-Schwachstellen spezialisierter Sicherheitsforscher. (bzgl. der Überschrift ist zu sagen: Ian Beer hat es in der von mir verlinkten Präsentation etwas anders und weniger fordernd formuliert als die heise-Überschrift suggeriert, sondern eher als Vorschlag und Erinnerung an Apple, das durch ihn eingespaarte Bug Bounty-Geld ganz im Sinne einer letztjährig in so eine Richtung gehenden Verlautbarung Apples bitte als Spende an Amnesty International zu tätigen – hat nach der Präsentation per Twitter nochmal das hier und das hier nachgelegt)


Außerdem ganz interessant am Rande als kleine Randnotiz:

Golem (10.08.2018): Pwnie Awards: Hacker-Preise für Golem.de-Autor Hanno Böck und John McAfee
Auf der Black-Hat-Konferenz in Las Vegas sind zum elften Mal die Pwnie Awards für die besten Hacks und schlimmsten Misstritte der IT-Sicherheitsindustrie verliehen worden.
Freut mich sehr für Hann Böck und Golem, der schreibt regelmäßig recht gute Dinge und weiß, wovon er spricht.

Also nur interessant/gefährlich für Macs in Firmennetzwerken mit MDM. Ist bei mir zu Hause glücklicherweise nicht der Fall.

… und auch nur der frische Rechner BEVOR er das erste Mal durch das MDM gesteuert wird. Das heißt wenn einmal eingerichtet, verbunden und gesteuert ist das Thema auch wieder durch. Heißt also das Problem gibt es nicht mehr, da keine Systeme mit altem OS neu ausgeliefert werden.

Sowie in Schulen, Universitäten, Bildungseinrichtungen, Forschungseinrichtungen, Bibliotheken etc.

Es geht um Geräte bei der Ersteinrichtung. Die Anzahl der Geräte, die mit älterer System kommen, dürfte bald gegen 0 gehen

beanchen
Naja, „kommt ein Rechner zurück“ oder bekommt eine neue Platte oder SSD, dann fällt dort wo mit MDMs gearbeitet wird doch auch eine Erstinstallation wieder an. Und ob dabei das aktuelles System oder ein älteres drauf kommt / kommen kann wir man von Fall zu Fall entscheiden müssen.
OK, das sind dann nicht nicht ganz so viele

@MikeMuc
Im Normalfall ein aktuelles und einheitliches (tendenziell will man damit eben das „von Fall zu Fall“ abschaffen). Das ist ja u.a. der Sinn des MDM: Rechner verwalten und das Patchmanagement vereinfachen – Systeme gleichziehen. Und: Nach der Reparatur hat das System eben nicht den von Apple für das Unternehmen vorbereiteten DEP-Zustand.

Nun ja, um diesen Bug ausnutzen zu können, muss ein Hacker aber so einige Hürden überwinden:
Wired:
"The tainted download server would also need to have a valid web certificate, another hurdle that makes the attack harder but certainly not impossible."


Dann gilt das wie bereits angemerkt nur für Unternehmen/Universitäten, nicht für Privatanwender.

Laut Heise:
"Ein Angreifer im gleichen Netz könnte also dem Rechner ein verfälschtes Manifest unterjubeln, damit dieser sich einen Schädling herunterlädt und diesen installiert."

Wenn ein Angreifer sich im selben Netz befindet, dann hat ein Unternehmen ein ganz anderes Problem.

Gut, dass das entdeckt wurde. Gut, dass Apple das mit 10.13.6 gefixt hat. Aber ganz so dramatisch wie manchmal dargestellt ist das ganze nun auch nicht.

Dann fang ich gleich mal an meinen Mac auf Werkeinstellungen zurückzusetzen. Endlich wieder Spannung im Karton

Präsentationsfolien dazu laut heutigem Tweet des Autors: .

Bisher leider noch keine Präsentationsfolie dazu von Patrick Wardle online gestellt/gesichtet, bisher nur das hier als Fremdzusammenfassung u.a. laut gestrigem Tweet des Autors:

threatpost (08.08.2018): Black Hat 2018: Patrick Wardle on Breaking and Bypassing MacOS Firewalls
A Black Hat talk demonstrates the ease of poking holes in firewalls: How to break, bypass and dismantle macOS firewall products.

Bitte den ganzen Absatz zitieren, das was unmittelbar zuvor gesagt wird, ist nämlich wichtig und entscheidend bei der ganzen Sache:

Sprich: Die Kommunikation zwischen Apples Server bzw. dem AppStore-Server-Verbund waren unzureichend abgesichert, nur so wurde das überhaupt möglich. Es ist also ein etwas komplexeres und strukturelles Problem mit meheren beteiligten Komponenten gewesen, die ineinandergreifen und voneinander abhängig sind, was nicht per se einfach mit einem clientseitigen System-Update behoben ist, sondern wo auch die Server auf Apples Seite, welche die Software zur Verfügung stellen, entsprechend so konfiguriert und abgesichert sein sollten/müssen, dass die Kommunikation und der Austausch miteinander auf sicherer Ebene klappen. Patzt nur eine Seite, Server oder Client (in diesem Fall wohl der Client) oder gar beide, haut das Security-Konzept nicht hin.

Und es hat nicht weniger Probleme bzw. erst recht, wenn in seinem eigenen Netz zwar alles in Ordnung ist und er keine Angreifer im eigenen Netz hat, jedoch der Software- bzw. MDM-Anbieter, von dem man sich im Vertrauen ein MDM/DEP installiert bzw. per MDM/DEP aus der Ferne Software zieht, patzt und diese Vertrauensstellung durch eigene Luschigkeit untergräbt und das Vertrauen in die eigenen Zertifikate nicht sichergestellt, das schwache Glied in der Kette im Grunde selbst ist, das Täuschung überhaupt erst ermöglicht oder gar anlockt (ein Angreifer im eigenen Netz ist im Zweifel erst dadurch überhaupt da, weil es bestimmte Schwachstellen und Lücken gibt, die er ausnutzen kann und er das weiß).

Ja!

Ja!
In 10.13.6.
In 10.12.x auch?
In 10.11.x auch?

Kein Aber. Kein Downplaying. Wenn ich nicht mehr bzw. noch nicht mal mehr dem Betriebssystem-Hersteller vertrauen kann bzw. vertrauensvoll von ihm per MDM/DEP aus der Ferne Software beziehen kann und in mein Netz lassen kann, weil er diese gesonderte Vertrauensverbindung (u.a. durch zusätzliches Certificate Pinning, das ein Zertifikat ja nochmal besonders bindend macht in einer abgesicherten Verbindung nach dem Motto: "Nur exakt dieses Zertifikat. Kein anderes, weder ähnlich noch sonstwas. Und nur exakt dieser eine Server als Gegenstelle, kein ähnlicher, auch kein anderer aus dem gleichen Verbund/CDN/Domain" und nur exakt dieser Client-Rechner, kein anderer aus dem gleichen Netz/Verbund), die darüber hergestelt wird, durch solche Patzer untergräbt und löchrig und damit offen für Manipulation von außen macht, dann ist MDM/DEP sicherheitstechnisch gesehen im Grunde der tiefere Sinn und die Berechtigung entzogen, dann spiele ich als Verantwortlicher für mein von mir betreutes und verantwortetes Netzwerk, in dem evtl. hochsensible und/oder kritische Daten kursieren, die Software dann doch lieber per Hand auf und verteile sie bzw. konfiguriere sie per Hand, anstatt mir durch die Hintertüre evtl. was via Hersteller (in diesem Fall Apple) in mein ansonsten sauberes Netzwerk reinzuholen. Oder?

Eine präparierte email, eine entsprechend präparierte Webseite oder ein infizierter, präparierter USB-Stick, der arglos eingesteckt wird, von einem Mitarbeiter/Teilnehmer eines solchen Mac-Netzwerks arglos getätigt, reicht im Zweifel aus, um ggf. ganz gezielt eine ganz bestimmte ausgesuchte Schwachstelle im darunterliegenden macOS anzugehen und sich da ggf. einzuklinken, ggf. entsprechende Schadsoftware oder anderes nachzuziehen, welche dann genau das unbemerkt vollzieht: einen "Man in the middle" einzuschleusen bzw. zu installieren.

Die Entdecker machen da im Gegensatz zu manchem Kommentar hier kein Downplaying, kein Beschwichtigen und Zeigen auf jemanden Anderen. Sondern sie nehmen vor allem den Anbieter, den Hersteller in die Pflicht, mahnen in Richtung Anbieter/Hersteller (in diesem Fall Apple): bitte sauberer arbeiten ("Security is often dependent on the MDM vendor → vendors can do more"):

In wie fern? Wenn es Bedingung ist, daß der Angreifer im Netz sein muß, dann ist das entscheidend. Gegen fremde Rechner im Netz gibt es Maßnahmen, die vielerorts ebenfalls eingesetzt wird.

Es gibt halt Leute, die schreiben ganze Romane und machen Ihre Posts so lang wie möglich, ich zitiere das was mir in diesem Zusammenhang wichtig erschien und habe für alle anderen den Link auf den Originalartikel bereit gestellt.

Ist ja gut. Ich denke wir können uns in diesem Punkt darauf einigen, dass wir nicht einer Meinung sind.

Dieser besagte Angreifer ist da aber womöglich erst in so einem Netz (z.B. via untergejubelter präparierter email, präparierter Webseite oder präpariertem USB-Stick von einem arglosem, nichtsahnenden Teilnehmer des lokalen Netzwerkes versehentlich ins lokale Netzwerk, das ja oft und nicht selten mit dem globalen Internet verbunden/verwoben ist, eingeschleppt), weil er schon vorher schon genau über diese Schwachstelle in diesem Netzwerk an dieser Stelle genau Bescheid weiß, dass er darüber reinkommt und ist entsprechend vorbereitet und präpariert und kann mit seinen dafür extra präparierten Mitteln und Werkzeugen ganz gezielt in diese Schwachstelle(n) und Lücke(n) reinstoßen und sie für sich ausnutzen und seins ggf. zu platzieren, um das betreffende Netzwerk oder den betreffenden Rechner im Sinne des Angreifers zu infiltrieren, zu manipulieren (z.B. ggf. Adressen umzubiegen/umzuleiten) – oft ist es ja eine Kombination mehrerer Lücken (Browser-Schwachstellen inklusive), die erst nacheinander abgearbeitet eine bestimmte Kette ergeben, um sich Stück für Stück weiterzuhangeln und aus einer Kette vermeintlich harmloser Lücken etwas Größeres aufzubauen, um zum eigentlichen Ziel zu kommen. Gelegenheit macht eben Diebe sozusagen. Bzw. wo eine Schwachstelle oder auch mehrere, kann eingehakt werden, und wenn sie dem Angreifer bekannt ist/sind, erst recht und ganz gezielt. Und genau das passiert ja leider auch durchaus bzw. ist schon mehrfach passiert und leider gängige Praxis.

Reichlich kompliziert. Denn das bedingt weitere Lücken und fehlende Sicherheitsmaßnahmen.

Unter Windows wäre es da einfacher ein golden Ticket zu bauen.

Für jemanden, der ein bestimmtes Ziel erreichen will, eher nicht bzw. der lässt sich weder beirren noch abschrecken durch mehrere zu gehende Schritte, um zu seinem Ziel zu gelangen. Zumal ausgeklügelte Attacken, die genau sowas, was Du kompliziert nennst, mittlerweile Gang und Gäbe sind und enorm zugenommen haben – auch die Mac- und iOS-Plattform betreffend, die bleibt davon leider nict verschont.

In macOS, iOS, Safari leider zur Genüge vorhanden, da herrscht leider diesbzgl. kein Mangel, eher im Gegenteil.

Diese Sichtweise an den Tag zu legen, war mal, die Zeiten sind vorbei. Auf die Mac- und iOS-Plattform spezialisierte Sicherheitsexperten wie Patrick Wardle und andere seines Schlages widersprechen Dir da inzwischen und stellen der Windows-Plattform sicherheitstechnisch mittlerweile seufzend und anerkennend ein besseres Zeugnis aus als der macOS-Plattform mit einem über die Jahre inzwischen gereiften und gehärteten höheren Sicherheitslevel und -maßnahmen, die bei der macOS-Plattform so entweder nicht vorhanden oder löchrig/dilletantisch umgesetzt seien, und macOS hätte bisher einfach nur Glück, weniger im Fokus zu stehen aufgrund geringerer Verbreitung, mit zunehmender Verbreitung nimmt das aber auch stetig und teilweise sprunghaft zu (was ja auch mitzubekommen ist, wenn man nicht die Augen vor der Realität verschließt und gewisse Dinge interessiert mitverfolgt).

Zumal Apple leider durch eigene Schludrigkeit und unsaubere Arbeit in macOS und iOS immer wieder Lücken lässt (teilweise Jahre alte und seit Jahren bekannte Kernel-Lücken, teilweise, wie jetzt wieder im Rahmen der Black Hat von Ian Beer aufgezeigt, sogar seit Jahren in Buchform veröffentlicht und immer noch nicht geschlossen! Wie peinlich für Apple!) bzw. neue fabriziert, teilweise eklatant peinliche und schlimme (root-Lücken, etc., siehe auch die letzten Monate, was da alles war). Und die werden leider auch durchaus ausgenutzt, nicht nur theoretisch sondern leider ganz real.

Das beste theoretische Sicherheitskonzept ("security comes in layers") nützt nix, wenn ich als Hersteller es durch eigene Schludrigkeit, unsaubere Implementierung und zahlreiche Bugs unterminiere und regelmäßig selber Lücken fabriziere und offen lasse, die ein Umgehen/Unterlaufen dieser Sicherheitsmaßnahmen ermöglichen und sie in ihrer Wirksamkeit schwächen oder sogar komplett wirkungslos machen. Genau das ist unter macOS und auch iOS leider nur allzu oft der Fall, Ian Beer hat dazu auf der gerade gewesenen Black Hat-Konferenz deutliche Worte gefunden, womit er sich in bester Gesellschaft mit Kollegen wie Patrick Wardle und Stefan Esser befindet, die das seit Jahren auch schon so sehen und sagen, predigen und anmahnen.

Und was ein Ian Beer, ein Patrick Wardle, ein Stefan Esser und andere an Lücken finden und mit dem Finger drauf zeigen, das können auch weniger aufrechte Zeitgenossen bzw. tun es bzw. halten den Mund drüber, handeln im Verborgenen damit statt sie brav Apple zu melden verbunden mit der Hoffnung, dass sie von Apple dann zügig geschlossen werden.

Was ein Haufen Text.

Es ist vollkommen einfach ein Golden Ticket zu erzeugen. Und die Mechanismen, die das verhindern sind recht aufwändig und auch an diverse Bedingungen verknüpft. Das erzählen die leider nie.

Und wenn du den Verdacht hast, daß jemand eins hat, so gibt es nur eine Möglichkeit etwas dagegen zu machen: Die Domäne löschen und neu aufbauen. Viel Spaß dabei. Das wird auch nicht in Betracht gezogen.

Ich könnte jetzt fragen, wo die ganze echte Schadsoftware für den Mac steckt. Nicht das Zeug von dem die Schlangenölverkäufer reden. Und auch nicht von manipulierten Xcode-Varianten erstelltes Zeug.

Nice to know, but...

Für den privaten Anwender, ist es fast gleichbedeutend mit der Information, dass sein Mac durch einen atomaren Erstschlag in der nordeutschen Tiefebene yerstört werden kann.

Nicht falsch verstehen. Ich finde die Sicherheitsforschung wichtig und auch private Anwender haben dadurch erhebliche Vorteile. Leider werden solche Meldungen missbraucht, um das eigene Weltbild bestätigt zu sehen, andere in ihrer Haltung angreifen zu können oder einfach nur um Panic zu verbreiten.

Und wieder was, was Apple (nur auf Zuruf von außen) gefixt hat, leider peinlicherweise dilletantisch und unzureichend bzw. wirkungslos, sodass ein Exploit/0-day deshalb trotzdem weiter möglich war/ist (erst Mojave wird's wohl angebl. verunmöglichen):

DEF CON 26, 12.08.2018, Präsentation Patrick Wardle: The Mouse is Mightier than the Sword , Präsentationsfolie dazu: (PDF)

threatpost (12.08.2018): DEF CON 2018: Apple 0-Day (Re)Opens Door to ‘Synthetic’ Mouse-Click Attack

Security affairs (13.08.2018): Apple zero-day exposes macOS to Synthetic Mouse-Click attacks
Patrick Wardle, the popular white hat hacker, has discovered a zero-day vulnerability that could allow attackers to carry out synthetic mouse-click attacks

Wired (12.08.2018): Invisible Mouse Clicks Let Hackers Burrow Deep into MacOS

Fossbytes (13.08.2018): Defcon 2018: Hacker Exploits Vulnerabilities In macOS With “Invisible Clicks”