Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitslücke: Jedes beliebige Passwort entsperrt Systemeinstellungen zum App Store

Die wohl schwerwiegendste Sicherheitslücke in der Geschichte von Mac OS X/OS X/macOS wurde Ende November bekannt - auch ohne Kenntnis des Passworts war es möglich, sich Vollzugriff auf den Mac zu verschaffen. Dazu musste die "Benutzer & Gruppen"-Seite in den Systemeinstellungen geöffnet, danach auf das Schloss unten rechts geklickt und als Benutzer "root" angeben angegeben werden - nach mehrmaligem Klick auf den "Schutz aufheben"-Knopf verschwand der Abfrage-Dialog und es ließen sich sämtliche Benutzereinstellungen verändern. Apple schloss die Lücke in der ersten Dezemberwoche.


Jetzt ist erneut eine Sicherheitslücke aufgetaucht, bei der die Passwortabfrage nicht funktioniert. Diese ist zwar ebenfalls peinlich, allerdings bei weitem nicht so kritisch wie der Root-Bug. Konkret geht es um die Einstellungen zum App Store. Wer dort Änderungen vornehmen möchte, wird nach dem System-Passwort gefragt. Allerdings ist es völlig egal, welches Passwort nun zum Einsatz kommt - die Freischaltung funktioniert ungeachtet des eingegebenen Codes immer. Damit lässt sich zwar nur wenig Unheil anrichten, allerdings gibt es ein ganz offensichtliches Problem bei der Verifizierung der Accountdaten. In der Werkseinstellung gibt es übrigens gar keine Passwortabfrage. Nur wer die Sektion manuell per Klick auf das Schloss links unten sperrt, muss die Login-Daten eingeben.


Apple schritt bereits zur Tat. Unter macOS 10.13.2 ist das Problem zwar noch vorhanden, nicht aber in der aktuellen Betaversion von macOS High Sierra 10.13.3. Wer sich auf dieselbe Weise Zugang zu den Einstellungen unter macOS 10.13.3 verschaffen möchte, scheitert. Es ist davon auszugehen, dass Apple die neue macOS-Version zügig freigeben wird, da die Sicherheitslücke nun an die Öffentlichkeit gelangte. Andere Sektionen der Systemeinstellungen sind übrigens nicht betroffen.

Phil Schiller hatte sich in einem Interview Ende Dezember zur "sehr schlechten Woche" geäußert, in der es gleich eine ganze Reihe an Pannen und Sicherheitsproblemen gab. Schiller versprach, alle Prozesse sowie Arbeitsweisen im Detail zu überprüfen. Apple müsse "tief in sich gehen" und verhindern, dass so etwas noch einmal passiere. Die aktuelle Meldung zeigt, dass es wohl wirklich einiger Anpassungen bedarf.
Qualitätsprobleme bei MacBook-Displays: Apple tauscht Zulieferer aus, fing Charge aber ab
Qualitätsprobleme bei MacBook-Displays: Apple t...
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldungen und frühen Erfahrungen
macOS 15, iOS 18: Die ersten Nutzer-Rückmeldung...
iPhone 16 Pro in Einzelteilen – Details zum Aufbau und zum neuen Modem
iPhone 16 Pro in Einzelteilen – Details zum Auf...
Daten zum Mac mini M4: Aufpreise, Spezifikation und Vergleich mit Mac mini M2
Daten zum Mac mini M4: Aufpreise, Spezifikation...
Mac mini mit M4
Mac mini mit M4
iMac M4 angekündigt
iMac M4 angekündigt
Gescheitert: iPhones von Robotern statt Arbeitern
Gescheitert: iPhones von Robotern statt Arbeite...

Kommentare

macfan3110.01.18 20:46
OMG.... das hört ja nicht auf. Wie sicher ist OSX eigentlich noch?
-5
Turbo
Turbo10.01.18 20:48
Ich zähle ja schon seit Jahren langsam runter. Noch 4 Jahre, dann haben sich die Fronten verschoben! Dann sind wir alle wieder bei Windows, weil die Entwickler es dort gelernt haben und Apple es verlernt hat!
Sei und bleibe höflich!
-2
macmuckel
macmuckel10.01.18 20:49
Oh Apple, macht den Laden dicht wenn ihr nur noch Müll produziert 🤬
-14
Tzunami
Tzunami10.01.18 20:51
So sieht es aus, wenn man ein System nach dem anderen raushaut.
+16
rudluc10.01.18 20:51
War diese Sicherheitslücke schon vor Ende November vorhanden und wurde sie erst dann bekannt? Oder trat diese Sicherheitslücke erst Ende November auf?
Im ersten Fall können wir von Glück sagen, dass sie noch nicht ausgenutzt wurde und dass man sie auf irgendeinem Weg erkannt hat.
Im zweiten Fall würde ich mir an Apples Stelle ernsthaft Sorgen machen und mal intern nach Saboteuren suchen.
-2
zacwinter10.01.18 20:52
Die Kommentare wieder .... 🧐🤨
+4
Holly
Holly10.01.18 21:04
Beschwert euch nicht! Apple ist halt einfach zu sehr damit beschäftigt mittelklasse TV-Shows zu produzieren.
+11
marco m.
marco m.10.01.18 21:12
Gibt ja auch schon so viele, daß man sich darüber ein Urteil erlauben könnte.
Und die, die sich damit beschäftigen, sind natürlich auch mit macOS beschäftigt. Dann kann das ja nichts werden.
Chevy Chase: Twenty years ago, we had Steve Jobs, Johnny Cash and Bob Hope. Now we have no jobs, no cash, and no hope. Please, don't let Kevin Bacon die!
+3
Dom Juan10.01.18 21:20
Funktioniert übrigens nur, wenn man das auf einem Admin Account versucht. Ein normaler User will das echte Admin Kennwort. Und es funktioniert - zum Glück - nur in diesem Reiter. "Sicherheit und Privacy" o.A. verlangen auch immer das echte Kennwort.
+11
ÄNDY
ÄNDY10.01.18 21:21
Microsoft Windows war ja schon immer der Versuch zu kopieren.*
So langsam offenbart es sich: lässt sich in die Karten schauen.
*Oder war es umgekehrt?
-7
WerWieWas
WerWieWas10.01.18 21:26
Hätte nie gedacht, dass ich das mal sage, aber jetzt kann ich nicht mehr anders:
Das wäre mit Steve nicht passiert!!!!
-7
iGod10.01.18 21:27
Bevor die Sicherheitslücke relevant wird, muss man sich ja schon vorher mehr als ungeschickt verhalten, in dem man eine fremde Person 1) an seinen Computer im Admin Profil lässt oder 2) den Computer entsperrt stehen lässt, wenn man ihn verlässt.
-2
mac_hh
mac_hh10.01.18 21:35
Was für eine Gurkentruppe....
-1
ocrho10.01.18 21:37
Die Ganze Peinlichkeit lässt sich noch steigern: In der Vorgängerversion von macOS 10.12 gab es all diese peinlichen Sicherheitslücken nicht, aber wenn irgendwelche Sicherheitslöcher von Dritten bekannt werden (Intel, WLAN usw.) dann heißt es immer: Immer nur die neuste macOS-Version erhält das Update als erstes und die Vorgängerversionen müssen warten. Das passt jetzt nicht mehr. Ich bin froh, dass ich noch nicht gewechselt bin und werde noch weiter warten mit den Umstieg auf macOS 10.13.
0
ocrho10.01.18 21:41
Langsam wird es an der Zeit, dass ein unabhängiger Dritter alle Passwort-Abfrage-Varianten in macOS 10.13 systematisch testet – da werden noch viele weitere peinliche Bugs sich offenbaren.
+5
aMacUser
aMacUser10.01.18 21:46
Turbo
Ich zähle ja schon seit Jahren langsam runter. Noch 4 Jahre, dann haben sich die Fronten verschoben! Dann sind wir alle wieder bei Windows, weil die Entwickler es dort gelernt haben und Apple es verlernt hat!
Meinst du? Microsoft schafft es in letzter Zeit immer wieder mit einem Update ganze Windows-Systeme lahm zu legen. Zuletzt hat das Januar-Update jeden Rechner mit einer bestimmten AMD-Prozessorreihe lahmgelegt.
Da ist das hier ja schon fast harmlos.
+3
nightsurfer10.01.18 21:59
Also bei mir (10.13.2) funktioniert das nicht.
+4
virk
virk10.01.18 22:00
nightsurfer
Also bei mir (10.13.2) funktioniert das nicht.
Vielleicht Dein System zerschossen
Gaststättenbetrieb sucht für Restaurant und Biergarten Servierer:innen und außen.
-3
nightsurfer10.01.18 22:05
Blödsinn. Ich bin allerdings nicht als Admin unterwegs. In diesem Konto geht das, hab ich grad festgestellt.
+7
teorema67
teorema6710.01.18 22:12
Sehe ich das richtig, dass physischer Zugriff auf den jeweiligen Mac Voraussetzung ist? Dann relativiert sich das Risiko, auch wenn solche Bugs besser vor der Veröffentlichung eines neuen OS entdeckt und behoben werden sollten. Und dann kann ich iGod nur zustimmen.
Rassismus ist, überall Rassismus zu wittern, wo keiner ist, und damit echten Rassismus zu bagatellisieren. (Dieter Nuhr)
+9
nightsurfer10.01.18 22:16
teorema67
Sehe ich das richtig, dass physischer Zugriff auf den jeweiligen Mac Voraussetzung ist? Dann relativiert sich das Risiko, auch wenn solche Bugs besser vor der Veröffentlichung eines neuen OS entdeckt und behoben werden sollten.

Das ist korrekt. Und nicht nur das, es muß ein Admin angemeldet sein. Ist man ohne Admin - Rechte unterwegs - was auch am Mac so sein sollte! - muss man einen Admin - Namen und das PW dafür eingeben. Da geht es mit einem falschem PW nicht.
+9
MacMuffel10.01.18 22:37
... man braucht auch gar kein Passwort einzugeben, also "Passwort" komplett leer lassen.
Funktioniert auch!
+5
koehler10.01.18 22:41
nightsurfer
teorema67
Sehe ich das richtig, dass physischer Zugriff auf den jeweiligen Mac Voraussetzung ist? Dann relativiert sich das Risiko, auch wenn solche Bugs besser vor der Veröffentlichung eines neuen OS entdeckt und behoben werden sollten.

Das ist korrekt. Und nicht nur das, es muß ein Admin angemeldet sein. Ist man ohne Admin - Rechte unterwegs - was auch am Mac so sein sollte! - muss man einen Admin - Namen und das PW dafür eingeben. Da geht es mit einem falschem PW nicht.


Wieso sollte man am Mac nicht als Admin unterwegs sein? Neid zu alle User die ich kenne benutzen den Mac mit ihrem Admin Account.
+13
macaldente
macaldente10.01.18 22:42
Mehr als peinlich, aber nicht katastrophal.
Trotzdem:
Niemand mit Verstand benutzt den Mac mit Admin Account.
-14
Sam
Sam10.01.18 22:44
MacMuffel
... man braucht auch gar kein Passwort einzugeben, also "Passwort" komplett leer lassen.
Funktioniert auch!
kein passwort ist auch (k)ein passwort…
Kein Slogan angegeben.
+2
Dom Juan10.01.18 22:53
Weil ein Admin nun mal mehr Rechte hat als ein normaler User. Und eine potentielle Software somit mehr Schaden anrichten kann, als unter einem Standardnutzer. Plus, es ist manchmal ganz interessant zu sehen, was für Anwendungen so tief ins System eingreifen wollen, als dass ein Admin das absegnen muss. Untern einem normalen User erscheint da das berühmte Fenster "Admin und Kennwort bitte", unter einem Admin läuft das dann einfach - weil die Rechte da ja schon gegeben sind.
+5
mniewiera10.01.18 23:02
Dom Juan
... Untern einem normalen User erscheint da das berühmte Fenster "Admin und Kennwort bitte", unter einem Admin läuft das dann einfach - weil die Rechte da ja schon gegeben sind.
Auch für einen Admin erscheint die Abfrage nach Benutzername und Kennwort.
0
aMacUser
aMacUser10.01.18 23:23
Dom Juan
Untern einem normalen User erscheint da das berühmte Fenster "Admin und Kennwort bitte", unter einem Admin läuft das dann einfach - weil die Rechte da ja schon gegeben sind.
Ich weiß ja nicht, mit was für Admin-Accounts du arbeitest (oder eben nicht). Aber wenn bei mir ein Programm Adminrechte will, kommt trotzdem die Kennwortmaske, obwohl ich als Admin eingeloggt bin.
Und kein halbwegs intelligenter Benutzer lässt irgendeine zwielichtige Software auf seinem Rechner laufen. Mit ein wenig Verstand kommt man auch als Admin nicht in Gefahr.
+6
F. Flor10.01.18 23:32
Ich finde Kommentare immer sehr Bemerkenswert. Ich muss sagen, wenn ich das hier alles lese, dann bin ich fest davon überzeugt das viele hier Senior Developer sein müssen die richtig tiefe Ahnung von C und UNIX Systemen haben. - Ironie Ende.

Vergesst bitte nicht, dass bei Apple auch nur Menschen arbeiten, welche mit Wasser Ihre Nudeln kochen.

Ich Behaupte mal, dass niemand hier, oder auch an anderer Stelle jeden Tag zu jedem Moment perfekte Leistung abliefert.

Ich möchte hier nichts relativieren, es ist schon recht kritisch an der ein oder anderen Stelle, aber das ist es bei alles Betriebssystemen schon immer gewesen.
Ich erinnere an den root-Bug unter Linux, davon waren Millionen von Webservern betroffen auf denen Teilweise Datenbankzugänge in Klarschrift lagen. Damit ist viel mehr Unsinn passiert. Bei Windows gab es auch schon diverse Bugs, wie unter Win 7 z.B. der Administrator-Account, welcher sich über den abgesicherten Modus auf der CMD aktivieren lässt und kein Passwort verlangt. Der Fix hat mehrere Jahre gedauert.

Also immer schön Menschlich bleiben 😉
+10
nightsurfer10.01.18 23:34
mniewiera
Dom Juan
... Untern einem normalen User erscheint da das berühmte Fenster "Admin und Kennwort bitte", unter einem Admin läuft das dann einfach - weil die Rechte da ja schon gegeben sind.
Auch für einen Admin erscheint die Abfrage nach Benutzername und Kennwort.

Nein, nur noch die nach dem Kennwort. Und da geht alles.
0
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.