News macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

[Shoryuken94]

und @Shoryuken94

Wieviele Personalabteilungen und Krankenhäuser (in England) hatten nochmal Probleme mit Verschlüsselungstrojanern? Damit fällt Windows eigentlich auch raus...

Ich habe nie behauptet, dass andere Systeme Fehlerfrei sind. Allerdings sind Dinge wie "Ups jeder kann sich als Root anmelden" schon eine ganz andere Hausnummer, die vom Hersteller gebaut wurde, als externe Angriffe.

"Außerdem ist Unix in München auch rausgeflogen" Na das ist ja ein stichhaltiges Argument^^ Liegt es vielleicht daran, dass Linux nicht unbedingt ein geeignetes Desktopbetriebssystem ist und man sich branchentypischen Standardsoftwarelösungen verschließt? Jedes Betriebssystem hat seine Stärken. Desktopanwendungen sind nicht gerade die Stärke von Linux.

Jedes Betriebssystem hat seine Lücken. Allerdings ist das aktuelle ein extrem dummer und extrem (weil sehr leicht auszunutzender) Fehler! Zumal sich Apple in meinen Augen im Businessumfeld auch durch ganz andere Dinge disqualifiziert! Als erstes wären da die Geräte. Nicht wartbar, unflexibel von Dingen wie fehlenden Anschlüssen, keiner wirklichen Dockinmöglichkeit und den eher fragwürdigen Garantiebestimmungen mal zu schweigen. Dazu gibt es keine vernünftige Appleserverlösung. Ich habe die letzten 4 Jahre in einer Firma gearbeitet, welche Applegeräte eingesetzt hat und so ziemlich nach jedem Update gabs da massive Probleme. Selbst einfache Dinge wie den Applekalender zu synchronisieren war nach Updates oftmals schon ein Problem. Zudem lassen sich Macs nur bedingt im großen Umfeld zentral administrieren.

komplexe Sicherheitslücken okay. Oftmals sind diese auch theoretischer Natur, da der Angriffsfall meistens relativ komplexx ist und von mehreren Faktoren abhängt. Sachen wie "Hoppla wir haben den Rootzugang offen gelassen" sind eine Hausnummer für sich. Das so als wenn ein Hersteller von einem Zahlenschloss 0000 als Universalschlüssel enbaut

 

[Doom Squirrel]

Dafür ist nichts weiter nötig, als als Benutzer root einzugeben und das Passwort frei zu lassen.

1 Zeichen.

 

[citalohammer]

Noch ein Grund, das neue System nicht zu installieren. Vermutlich ist es am besten, wenn man ein neues System erst installiert, nachdem das letzte Combo Update raus kommt. Dann hat man ein funktionierendes System und muss sich mit solchen Dingen nicht rumschlagen.

 

[highks]

Apple muss mal wieder eine Extrawurst machen hier, das allgemein und international akzeptierte Standard-Passwort für root ist doch eindeutig: "password" oder "root". Zur Not auch noch "admin", aber ein leeres Passwort?

Funktioniert auch bei mir beim zweiten Anlauf ohne Probleme, da muss ich wohl gleich mal die Runde machen und hier alle root Passwörter ändern

 

[Hito360]

wenn das Runterfahren das Abspielen von Queens "show must go on" veranlasst

wenn der User vorher bereits ein root kennwort vergeben hat, wird dieses durchs HighSierra-Update entfernt?
systemwiederherstellung und schon hat man wieder keins?

 

[Decorus]

Die Methode wurde bereits vor über zwei Wochen im Apple Developer Forum beschrieben:
https://forums.developer.apple.com/thread/79235

Autsch @ Response Time........

 

[Dezor]

Zumal sich Apple in meinen Augen im Businessumfeld auch durch ganz andere Dinge disqualifiziert! Als erstes wären da die Geräte. Nicht wartbar, unflexibel von Dingen wie fehlenden Anschlüssen, keiner wirklichen Dockinmöglichkeit und den eher fragwürdigen Garantiebestimmungen mal zu schweigen. Dazu gibt es keine vernünftige Appleserverlösung. Ich habe die letzten 4 Jahre in einer Firma gearbeitet, welche Applegeräte eingesetzt hat und so ziemlich nach jedem Update gabs da massive Probleme. Selbst einfache Dinge wie den Applekalender zu synchronisieren war nach Updates oftmals schon ein Problem. Zudem lassen sich Macs nur bedingt im großen Umfeld zentral administrieren.

Als Dockingstation kann man jede beliebige TB3-Lösung nehmen und die Garantie wird die Firma bei Rahmenverträgen ebenfalls selbst aushandeln. Bei uns in der Uni werden PCs grundsätzlich nicht vom Hersteller repariert sondern vom Nutzer - oder direkt komplett ausgetauscht. Probleme hatte ich bisher nicht bei Updates von macOS, dafür aber bei fast jedem großen Update von Windows 10 bei älteren Spielen. Und die Administration scheint laut IBM bei Apple auch leichter zu sein, jedenfalls liest sich diese News so: https://www.computerbase.de/2015-10/ibm-macs-sorgen-fuer-weniger-supportaufwand-als-pcs/

PS: die Rahmenverträge der Uni sind bei Dell und dort sind bei mehreren Mini-PCs (Dell Optiplex) nach 2 bis 3 Jahren die Netzteile abgeraucht.

 

[Shoryuken94]

Als Dockingstation kann man jede beliebige TB3-Lösung nehmen und die Garantie wird die Firma bei Rahmenverträgen ebenfalls selbst aushandeln.

Wenn alle User im Unternehmen / Organisation etc. das gleiche Gerät nutzen. Bei "älteren" MacBooks fällt das zum Beispiel flach. Zumal Thunderbolt nicht das ist, was ich unter einer Dockingfähigkeit verstehe. Kensingtonlock, Smartcardreader, Simkarteneinschübe etc. sucht man zudem auch vergebens.

Aber klar, man kann natürlich für jeden mitarbeiter einen Satz Adapter kaufen ^^ Ist bestimmt im außendienst super oder wenn man beim Kunden sitzt und drölf Adapter braucht.

Außerdem gibt es ja nicht nur Firmengroßkunden. Kleineren Kunden bleibt da nur Applecare, da ekommt man bei anderen Businessgeräten deutlich mehr geboten.

Bei uns in der Uni werden PCs grundsätzlich nicht vom Hersteller repariert sondern vom Nutzer - oder direkt komplett ausgetauscht.

Versuch mal bei einem aktuellen MacBook etwas selbst zu reparieren. Da bleibt nur der Geräteaustausch. Schau dir dagegen mal beispielsweise ein Thinkpad an.

Probleme hatte ich bisher nicht bei Updates von macOS, dafür aber bei fast jedem großen Update von Windows 10 bei älteren Spielen.

Tja so unterscheiden sich die. Bei Apple gabs bei fast allen Updates der letzten Jahre bei mir nervige Dinge. Von Bugs mal abgesehen waren immer nervige Kleinigkeiten dabei. Z.B. fehlten Kontakte im Kalender, die Synchronisation funktionierte nicht, zuletzt bei Sierra der Umgang mit SSH Keys... Ich glaube in meiner Alten Firma gab es kein Update in meiner zeit, wo es bei keinem Kollegen Probleme gab. Hängt auch stark vom Usecase ab.

Und die Administration scheint laut IBM bei Apple auch leichter zu sein, jedenfalls liest sich diese News so: https://www.computerbase.de/2015-10/ibm-macs-sorgen-fuer-weniger-supportaufwand-als-pcs/

PS: die Rahmenverträge der Uni sind bei Dell und dort sind bei mehreren Mini-PCs (Dell Optiplex) nach 2 bis 3 Jahren die Netzteile abgeraucht.

Wie gesagt Usecase, bei IBM passt es, bei anderen Unternehmen nicht. Das hängt stark von den Ansprüchen und der Nutzungsweise ab. Aber IBM hat ja auch nur einen weltweiten Bedarf von 5 Computern gesehen.... kleiner Spaß. Ich sage nicht das Apple Rechner schlecht sind, nur erfüllen sie FÜR MICH viele Kriterien eines Businessgeräts nicht und solche Lücken wie dieses Rootproblem, was ja angeblich schon seit zwei wochen bekannt ist, geht in meinen Augen absolut nicht! Würde mich mal in dem Zusammenhang interessieren, wie viele Rechner bei IBM gerade für jeden frei zugänglich sind ^^

PS: ich hatte auch schon zwei kaputte Macbooknetzteile und unser damaliger CTO hatte seinen Mac in einem Jahr 3 mal in der Reparatur. Es gibt immer Montagsgeräte und schlecht und schlicht Fehlentwicklungen (iPhone 6 oder die ersten Butterfly Tastature) oder halt auch die Netzteile von euren Unirechnern. Sowas gibt es bei vielen herstellern, auch bei Apple

 

[Dezor]

Versuch mal bei einem aktuellen MacBook etwas selbst zu reparieren. Da bleibt nur der Geräteaustausch. Schau dir dagegen mal beispielsweise ein Thinkpad an.

Beim MacBook kann man selbst leider quasi nichts reparieren, man kann nur den Lüfter reinigen und ggf. den verklebten Akku tauschen. Allerdings geht Lenovo mittlerweile scheinbar in die gleiche Richtung. Ich habe bei meinem ehemaligen Chef mal die SSD in dessen neuen Thinkpad (glaube L450, bin mir aber nicht ganz sicher) getauscht. Die ließ sich tauschen und der Arbeitsspeicher war gesteckt. Der Rest war verlötet und das Öffnen war auch nicht gerade einfach, denn nach ein paar Schrauben kamen noch ein paar dutzend Rastnasen, die nicht so aussahen, als ob sie mehrmaliges Öffnen überstehen würden.

 

[Prinzenrolle_]

und @Shoryuken94

Wieviele Personalabteilungen und Krankenhäuser (in England) hatten nochmal Probleme mit Verschlüsselungstrojanern?

Nun, das liegt aber nicht nur an Windows, sondern eher an den unfähigen ITler die einfach kein Sicherheitskonzept verwenden. Die Mischung von Systemen kann da schon grosse Abhilfe verschaffen. Oder halt ein Konzept.
Wir hatten das bei uns auch. Lange hatten wir null Konzept bei den Kunden, bis dann die Cryptotrojaner kamen. Dann hatten ein paar Kunden riesen ärger und wir mussten unsere Strategie anpassen.

Aber das liegt meiner Meinung nach nicht am OS... Das hier ist ein sehr ärgerlicher Fehler, aber nun ja, kein Hersteller ist wohl ohne Fehler ;-) Immerhin ist er so sichtbar und nicht wie der Bash Bug der Jahrelang versteckt blieb.

 

[olly3052]

Die Hardware von Apple ist in diesem Fred nicht das Thema.
Bleibt bitte beim Topic

 

[AntiUser]

Apple hat grade ein Sicherheitsupdate veröffentlicht für das Problem.

 

[Ramschladen]

Gerade runtergeladen und installiert. Habe das Prozedere nochmal ausprobiert. Scheint wohl behoben zu sein.

Man wird nach einem Neustart aber aufgefordert sich wieder neu mit der iCloud zu verbinden.

 

[-tRicks-]

Bei mir wurde soeben auch ein Sicherheitsupdate im AppStore angeboten, gibt aber noch keine Release Notes. Denke es dürfte aber der Fix für das Problem sein.

 

[Frank]

Artikel-Update: Apple stellt ab sofort ein Update (Security Update 2017-001) über den Mac App Store zur Verfügung, das die Lücke in macOS 10.13.1 „High Sierra“ schließt. Die Installation ist ohne Neustart möglich und es wird dringend dazu geraten, kurzfristig zu reagieren. Für Anwender, die in der geschlossenen Beta bereits auf eine Vorschau auf macOS 10.13.2 setzen, gibt es hingegen noch keinen Patch.

 

[der_w]

Der Patch ist auch in der aktuellsten Beta welche man seit heute Mittag laden kann enthalten.

 

[estros]

Apple hat sich auch bei den Besitzern entschuldigt:

„Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung. Unsere Kunden verdienen etwas Besseres.“

 

[Jan]

Der Patch ist auch in der aktuellsten Beta welche man seit heute Mittag laden kann enthalten.

Also ich habe 10.13.2 Dev Beta 5 drauf (von gestern) und da ist die Lücke noch drin.

 

[luckysh0t]

Na immerhin gabs recht schnell einen Patch.Aber so einen ähnlichen "bug" bzw wohl eher Feature gab es schonmal früher.
Da haste von der Installations DVD gebootet und dann konnte man das Passwort gegenein neues tauschen bzw entfernen.
Solange kein FileVault aktiv wahr.Unter Lion ging das dann mit der Restore "partition", allerdings dann nur noch über das Terminal und nicht mehr direkt über die Benutzerverwaltung.

Wenn ich mich täusche korregiert mich, das ganze ist schon ca 5+ Jahre her, und seitdem habe ich das ganze nicht mehr im rahem der Reparatur etc. dieser Geräte gebraucht.

 

[der_w]

@Jan: Stimmt. Keine Ahnung weshalb das heute Mittag bei zwei Macs von mir nicht funktioniert hat. Zu früh gefreut. Dann halt wieder root-pw setzen bis Apple hier die nächste Beta bringt.