Sicherheitslücke

Bug in macOS High Sierra: App Store Einstellungen ohne Passwort änderbar

Schon wieder gibt es eine Sicherheitslücke in der aktuellen Version von macOS High Sierra. Sie erlaubt es das App Store Menü in den Systemeinstellungen mit einem beliebigen Passwort freizuschalten.

Von   Uhr
2 Minuten Lesezeit

Auf Open Radar wurde ein Bugreport veröffentlicht, der es in sich hat. Selbst auf dem allerneuesten MacOS High Sierra 10.13.2 kann man die Einstellungen des App Stores mit einem beliebigen Passwort ändern. So lässt sich das ganze nachvollziehen. Das klappt aber nur mit einem Admin-Account.

Klicken Sie auf Systemeinstellungen. 
Klicken Sie auf App Store
Klicken Sie auf das Schloss-Symbol, um es gegebenenfalls zu verriegeln. 
Klicken Sie erneut auf das Schloss-Symbol. 
Geben Sie Ihren Benutzernamen und ein beliebiges Passwort ein. 
Klicken Sie auf Entsperren. 
Voilà!

Wie auf Radar erwähnt, lässt sich die Lücke nicht von einem Nicht-Admin umgehen. Nach einem Bericht von Macrumors lässt sich die Lücke mit der dritten und vierten Beta von macOS High Sierra 10.13.3 nicht reproduzieren, was darauf hindeutet, dass Apple die Sicherheitslücke gerade behebt. Wichtig: Das Update befindet isch noch in der Testphase.

Auf MacOS Sierra lässt sich die Lücke ebenfalls nicht reproduzieren, was darauf hindeutet, dass das Problem nur MacOS High Sierra betrifft.

Wie gravierend ist die Lücke?

Jeder mit Administratorzugriff kann damit die Einstellungen im App Store freischalten und Einstellungen aktivieren oder deaktivieren kann, um automatisch MacOS-Updates, App-Updates, Systemdatendateien und Sicherheitsupdates installieren. Nun wird wieder einmal klar, weshalb normale Anwender niemals ihren Mac mit Admin-Rechten nutzen sollten.

Es handelt sich um den zweiten passwortbedingten Fehler, der MacOS High Sierra getroffen hat. Im letzten Jahr wurde eine gigantische Sicherheitslücke entdeckt, die den Zugriff auf das root-Superuser-Konto mit einem leeren Passwort auf MacOS High Sierra Version 10.13.1 ermöglichte. Apple schob ein Sicherheitsupdate nach, doch der Reputationsschaden war gewaltig.

Im Anschluss an die Root-Passwort-Lücke war Apple gewungen, sich öffentlich zu äußern und zu beteuern, dass man die Entwicklungsprozesse auditieren wird, um zu verhindern, dass dies wieder geschieht. Nun, das ist offenbar so schnell kaum möglich.

Apple wird diese neueste Sicherheitslücke wahrscheinlich so schnell wie möglich beheben wollen, so dass es möglich ist, dass sogar noch ein Zwischenupdate erfolgt.

Diskutiere mit!

Hier kannst du den Artikel "Bug in macOS High Sierra: App Store Einstellungen ohne Passwort änderbar" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Ich persönlich sehe hier keinen Bug. Nur ich habe die Admin-Rechte. Und ich sollte auch das Passwort des Stores ändern können. In welcher Art das passiert ist doch nebensächlich. Kann ja schließlich auch andere Passwörter ändern.

Oder habe ich etwas falsch verstanden?

ja hast du offenbar denn dem artikel nach kann JEDER der einen adminzugang an deinem pc hat auch die einstellungen ändern OHNE dich zu fragen!
das mag bei einem pc der nur von dir und von sonst niemanden genutzt wird nicht weiter schlimm sein..anders ist dies bei pc's mit mehreren anwendern oder auch nur einem anwender der schlicht nicht weiß was er tut..

mal abgesehen davon ist es es irrelevant ob der bug tatsächlich zu missbrauch führt - dass das system an dieser stelle nicht so funktioniert wie ursprünglich vom erfinder gedacht - ist und bleibt ein fehler und dies in verbindung mit sicherheitsrelevanten komponenten des systems! dass ist schlamperei und obendrein gefährlich - und - wie der artikel auch darlegt bei weitem nicht der erste fauxpas den sich die apfler in letzter zeit geleistet haben..

Das Jahr 2018 beginnt für Apple wie das SW-mäßig verkorkste Jahr 2017 aufgehört hat...

Was ist nur los in dem Laden?!

Stimmt leider. Qualitätsmanagement und Sicherheit liegen stark im argen.

So langsam sollte Apple das mal in den Griff bekommen. Als wertvollstes Unternehmen der Welt und bei den fetten Gewinnen sollte ja wohl mal ein bisschen Geld für Qualitätsmanagement und Sicherheit über sein.

Die Kommentare für diesen Artikel sind geschlossen.