Erneut schwerer Passwort-Bug in macOS High Sierra entdeckt

Trackbacks

Kommentare

Kommentar schreiben

Anonym am Mittwoch, 10. Januar 2018:

Dhallalala am Mittwoch, 10. Januar 2018:

Floyd Pepper am Mittwoch, 10. Januar 2018:

Alex am Mittwoch, 10. Januar 2018:

Fitch am Mittwoch, 10. Januar 2018:

DM am Mittwoch, 10. Januar 2018:

DamGo17 am Mittwoch, 10. Januar 2018:

Erich am Mittwoch, 10. Januar 2018:

iDirk am Mittwoch, 10. Januar 2018:

Rolf am Mittwoch, 10. Januar 2018:

Arthur Dent am Mittwoch, 10. Januar 2018:

Weilicheinapfelbin am Mittwoch, 10. Januar 2018:

Anonym am Mittwoch, 10. Januar 2018:

itsme am Mittwoch, 10. Januar 2018:

Akimo am Donnerstag, 11. Januar 2018:

DM am Donnerstag, 11. Januar 2018:

XT2- KF am Donnerstag, 11. Januar 2018:

Geschrieben von Florian Schimanke am Mittwoch, 10. Januar 2018

Wie hatte es Apples Marketing-Chef Phil Schiller ausgedrückt, als er auf die teils schweren Bugs angesprochen wurde, die Apples Betriebssysteme Ende vergangenen Jahres heimsuchten? "Wir hatten eine schlechte Woche." Nun ja, vielleicht ist es doch ein wenig mehr. Erneut ist nun eine schwere Sicherheitslücke in macOS High Sierra auf Open Radar bekanntgeworden, bei der sich das AppStore Menü in den Systemeinstellungen mit einem beliebigen Passwort entsperren lässt. Dies lässt sich auf folgendem Wege auch in der aktuellen Version macOS High Sierra 10.13.2 nachstellen:

Systemeinstellungen öffnen
Bereich AppStore auswählen
Schloss zum Entsperren anklicken
Erneut auf das Schloss klicken
Benutzernamen eines Administrators und beliebiges Passwort eintippen

Die Kollegen von MacRumors konnten dieses Verhalten weder in der vierten Beta von macOS High Sierra 10.13.3, noch unter macOS Sierra 10.12.6 nachstellen, was nahelegt, dass der Fehler erst mit macOS High Sierra eingeführt wurde und mit dem nächsten Update behoben wird.

Dies Auswirkungen dieses Bugs sind als durchaus schwerwiegend anzusehen. So kann jeder, der physischen Zugriff auf einen entsperrten Mac hat die Einstellungen des Mac AppStore manipulieren und unter anderem auch das Installieren von Apps von außerhalb des AppStore erlauben. Apple hat sich dazu bislang nicht geäußert, wird das Problem aber wie gesagt offenbar mit dem nächsten Update für macOS HighSierra beheben.

Trackback-URL für diesen Eintrag

Keine Trackbacks

Ansicht der Kommentare: Linear | Verschachtelt

Offensichtlich mehr als nur eine schlechte Woche.

Ist schlimm und darf ned sein, aber nicht so schlimm, weil der Mac ja erst entsperrt sein muss....aber geht nat\374rlich trotzdem gar nicht.

Es reicht langsam!
Wird Zeit dass Gewinne-Tim endlich geht!

Also ich bin jahrelanger Apple Nutzer. Man k\366nnte mich durchaus als Fanboy bezeichnen. Aber was zur Zeit bei Apple abgeht ist nicht mehr feierlich!

Mal schauen, welchen schwerwiegenden Bug sich die Programmierer f\374r das n\344chste Update ausdenken \ud83d\ude44

@Flo Nicht "jeder mit physikalischem Zugriff" kann auf die Einstellungen zugreifen. Im rdar://36350507 steht, das nur physikalische User mit Admin rechten das machen können. Bei nicht Admin Nutzern geht es nicht.
Trotzdem nicht schön...

Aus ner Woche wird ein Monat und hoffentlich nicht ein Jahr !

Jetzt ist der Apfel echt angebissen

Ich nenne das ein \u201eeaster egg\u201c \ud83e\udd2a

Wirklich so schlimm? Ich entsperre meinen Mac, gebe ihm jemanden, der damit b\366se Sachen machen kann. Damals h\344tten die Leute noch dar\374ber gelacht, heute wird Apple gleich verflucht.

Genauso sehe ich es auch.
Es muss also erstmal jemand einbrechen, den iMac starten, das Passwort zum Starten eingeben und dann Bl\366dsinn damit anstellen.
Sorry, aber ich glaube so interessant bin ich f\374r so eine Art von Einbrechern wirklich nicht.

Aple ist doch einfach ein ganz normales Unternehmen wie alle anderen. Da regt man sich nicht mehr auf!

Diese Art von Fehler sind okey, solang man sie schnell fixed.

Root bug oder Encrypt leak war krass!!

Bei Windows-Systemen kann, ebenfalls bei physischem Zugriff, seit etlichen Jahren das Passwort eines beliebigen (Admin-)Accounts zur\374ckgesetzt und/oder durch ein neues ersetzt werden. Das dauert keine 2 Minuten.

Systeme, die nicht hinreichend gesch\374tzt und/oder gemanaged werden (File-Vault, starkes und regelm\344ssig zu \344nderndes Passwort, Policies in Unternehmen usw.) sind eben angreifbar.

Wer seinen Rechner oder Laptop entsperrt verl\344sst, dem ist nicht mehr zu helfen.

Sicherheit war, ist und bleibt immer ein Kompromiss. Entweder Sicherheit zu Lasten des Komforts oder eben umgekehrt.

Der Durchschnitts-Otto-Normal-User \344ndert weder monatlich sein 12-stelliges Zufalls-Login-Passwort, noch nutzt er File-Vault/Bitlocker, er macht kein t\344gliches Backup und er verliert auch mal sein Laptop oder sein Smartphone. Und das Ganze, ohne dar\374ber nachzudenken, welche Bedeutung mittlerweile diese Ger\344te f\374r und in unserem Leben haben.

Wer seine Haust\374r nicht abschlie\337t, muss eben mit Fremdbesuch rechnen.

Aber das ist eine Grundsatzdiskussion, mit der man viel zu oft auf taube Ohren st\366\337t.

Hervorragender Kommentar. Dem schlie\337e ich mich an.

Jupp genau so ist das...

Wenn man bei seinem Mac ich betone wenn man alle Sicherheits Einstellungen vern\374nftig eingestellt hat kann nichts passieren! Nicht immer gleich los jaulen wenn es einen selbst so gut wie \374berhaupt nicht betrifft das ist ein ganz geringer Prozentsatz wo das passiert der Zugriff auf ein vern\374nftig gesichert Mac ist so gut wie unm\366glich.

Oktober '25

Name

E-Mail

Homepage

Kommentar

Antwort zu

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Formular-Optionen

Daten merken?

Bei Aktualisierung dieser Kommentare benachrichtigen