News macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

[Frank]

Eine Sicherheitslücke in macOS High Sierra 10.13.1 (17B48) erlaubt es, sich unbefugten root-Zugriff auf jeden Mac zu verschaffen, der diese Betriebssystemversion einsetzt. Dafür ist nichts weiter nötig, als als Benutzer root einzugeben und das Passwort frei zu lassen.

Zur News: macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

 

[HuNtaYo]

Gerade bei meinem Macbook Pro ausprobiert - traurig aber wahr!

 

[Steini1990]

Ich finde das super. Da kann wenigstens jeder herumstehende Macs ohne Aufwand komplett durchtesten durch den Vollzugriff. Jeder Mac wird zum Vorführgerät . Das erhöht dann die Absatzzahlen....oder so...

 

[startaq]

Scheinbar nicht das einzige Problem: https://twitter.com/unsynchronized/status/935656609140711426

 

[Nevvermind]

Erst mal zu Mediamarkt und Saturn, mal schauen wie die Vorführgeräte so ausgestattet sind

 

[IndianaX]

Schon peinlich. Der Fix müsste eigentlich heute Nachmittag kommen, alles andere wäre zu lang/spät!

 

[All-Star]

Traurig..... gerade auf meinem MBA 13" mit 10.13.1 getestet.

 

[Shoryuken94]

Wie kann man so eine krasse Sicherheitslücke denn übersehen? Naja die Softwarequalität wird bei Apple eh seit Jahren immer schlechter, da wundert mich nichts mehr. Wenn sie da für ein Update mehr als 24 Stunden brauchen, ist es ein echtes Armutszeugnis. Als Entscheider welche IT Geräte angeschafft werden, würde bei mir Apple bei solchen eklatanten Sicherheitslücken sofort rausfallen.

 

[majusss]

Auch geil ist: wenn man mit Vorschau pdfs annotiert werden die Kommentare komplett random weggelöscht trotz speichern

 

[firexs]

Das ist ja wie beim Huawei uFeel lite eines Bekannten. Aktiver Fingerabdruckscanner lässt sich von fast jedem Finger umgehen ^^

 

[momdiavlo]

Wie zur Hölle findet man eine solche Lücke? Und wie kann man eine solche Lücke überhaupt erst haben?

 

[moodo]

Ich wusste das schon lange und habe es nicht als Sicherheitslücke betrachtet. Bei UNIX Systemen ist das root Passwort standardmäßig immer empty. Kann ja auch sinnvoll sein.

 

[Dezor]

Ja, auch Apple macht Fehler. Gravierende Fehler wie dieser sind glücklicherweise selten, aber sowas darf nicht passieren. Solche eigentlich trivialen Lücken müssen vor der Freigabe von Betriebssystemen geprüft werden.

@momdiavlo: Diese Lücke findet man nur durch Zufall, weil man damit eigentlich nicht rechnet. Erstaunlich finde ich aber auch den Bug beim iPhone, wenn man das Datum auf den 1.1.1970 stellt und die Zeitzone ändert. Wie viel Langeweile braucht es, das zu finden?

 

[_LC_]

Das wirklich Ärgerliche daran ist, dass es solche Fehler schon zuhauf gab. Sie sollten eigentlich Bestandteil jeder Testsuite sein, die vor dem Ausrollen (automatisch) durchlaufen werden müsste. Apple spart sich dies. Das ist der Casus knacktus und ein Skandal.

 

[Mihawk90]

Twitter mag zwar tatsächlich nicht der beste Weg sein um solch einen Bug zu melden, aber...

da sie jeden gegebenenfalls auch sicherheitsrelevanten Mac mit macOS High Sierra einer hohen Gefährdung durch unbefugten Zugriff aussetze.

Wenn das der Fall ist gehört der Sysadmin eh gefeuert.

Die Lücke funktioniert soweit ich das gelesen habe eh nur bei Systemen bei denen kein root Passwort gesetzt ist.

 

[iiiPlayer]

Kotzt mich an...nach iOS 11, das anfangs auf einem neuen iPhone unbenutzbar war (Akku, Ruckeln etc.) sowas...
Irgendwie lässt die Qualität rapide nach bei Apple...hoffe die fangen sich wieder.

 

[majusss]

@Mihawk90 und warum sollte ein Sysadmin ein root pw setzen? Immerhin ist macOS eigentlich "rootless". Und ein login damit ist im Normalfall überhaupt nicht möglich.

 

[Shoryuken94]

Ich wusste das schon lange und habe es nicht als Sicherheitslücke betrachtet. Bei UNIX Systemen ist das root Passwort standardmäßig immer empty. Kann ja auch sinnvoll sein.

??? Bei keinem mir bekannten Unixoiden Betriebssystem (außer jetzt MacOS) ist das Rootpasswort leer. Es ist keins für den Login hinterlegt (kennt jeder von einer Ubuntuinstallaion), man kann sich trotzdem nicht als Rootuser ohne Passwort anmelden. Und mir ist kein Fall bekannt, wo es sinnvoll wäre, dem Rootuser einen freien Login zu verpassen. Damit ist das System offen wie ein Scheunentor und jeder kann mit dem Rechner machen, was er will

 

[AntiUser]

Naja die Softwarequalität wird bei Apple eh seit Jahren immer schlechter, da wundert mich nichts mehr.

Das Gegenteil ist eher der Fall. Die Qualität ist in den letzten Jahren gestiegen, allerdings haben sie es mit 10.13 und ios 11 echt versaut. Diese sind qualitativ wirklich nicht gut.

Als Entscheider welche IT Geräte angeschafft werden, würde bei mir Apple bei solchen eklatanten Sicherheitslücken sofort rausfallen.

Du würdest also Briefpapier und Stifte kaufen, herzlichen Grlückwunsch und wilkommen in der Steinzeit. Jedes System hat Lücken die ausgenutzt werden können.

@Mihawk90 und warum sollte ein Sysadmin ein root pw setzen? Immerhin ist macOS eigentlich "rootless". Und ein login damit ist im Normalfall überhaupt nicht möglich.

Es ist ja sogar noch schlimmer. Es funktioniert mit jedem User der kein PW gesetzt hat und auch über VNC!

 

[Dezor]

Jedes System hat Lücken die ausgenutzt werden können.

und @Shoryuken94

Wieviele Personalabteilungen und Krankenhäuser (in England) hatten nochmal Probleme mit Verschlüsselungstrojanern? Damit fällt Windows eigentlich auch raus. Und Linux ist in München auch rausgeflogen. Dann gäbe es noch Android, aber die Firmen möchten ihre Daten vorzugsweise behalten und Kontrolle darüber haben, wodurch Android also auch keine Option ist. Also würde Shoryuken94 garkeine IT-Geräte anschaffen.

Meiner Meinung nach sollte der Admin und nur dieser in größeren Firmen Root-Zugriff haben und müsste damit sowieso selbst ein Root-Passwort vergeben, sofern die Geräte zentral verwaltet und eingerichtet werden. Bei uns in der Uni ist jeder Doktorand für sein eigenes Gerät selbst verantwortlich.