Hier darf's auch ein beliebiges Passwort sein. (Bild: Screenshot via 9to5Mac) Nach dem schwerwiegenden Root-Fehler haben Nutzer ein zweites Passwortproblem in Apples aktuellem Mac-Betriebssystem gefunden: Die Einstellungen des Mac App Store lassen sich mit jeder beliebigen Zeichenkette öffnen. Die Sicherheitslücken in macOS High Sierra scheinen kein Ende zu nehmen: Nach dem für Apple sehr peinlichen Root-Fehler wurde von Nutzern nun ein zwar weniger schlimmes, aber ähnliches Problem festgestellt. Systemeinstellungen akzeptieren falsches PasswortDer Fehler betrifft die Anwendung Systemeinstellungen und dort den Karteireiter für den Mac App Store. Eigentlich sollte dieser nur gegen Eingabe eines Administratorpassworts für Veränderungen zugänglich sein. Es ist aber möglich, hier den Nutzernamen eines Administrators einzugeben und anschließend als Passwort jede beliebige Zeichenkette – das richtige muss es nicht sein. Nachvollziehbar scheint der Bug unter macOS 10.13, 10.13.1 sowie 10.13.2 zu sein. Updatefunktion kontrollierbarZur Ausnutzung des Bugs müssen einige Voraussetzungen erfüllt sein. So muss der eingeloggte Account, der die Sicherung umgeht, selbst ein Administrator sein, entsprechend muss der Angreifer auf den betreffenden Mac Zugriff haben und dieser wiederum offen sein, um die Systemeinstellungen aufzurufen. In den App-Store-Einstellungen selbst lässt sich unter anderem festlegen, ob Einkäufe und In-App-Verkäufe ein Passwort benötigen oder ob für kostenlose Downloads das Passwort gespeichert werden soll. Zudem können Betatester den macOS-Betatest verlassen. Außerdem können die Updates im Mac App Store aufgerufen sowie – und das ist wohl am problematischsten – automatische Updates auch für sicherheitsrelevante Probleme (de)aktiviert werden. Angreifer könnten so verhindern, dass Fixes schnell auf den Rechner kommen. Denkbar wäre etwa, dass Malware die Lücke ausnutzt, die auf Maschinen im Administratorbetrieb ausgeführt wird; sie würde dann keine Passworteingabe benötigen. Beta von macOS 10.3.3 bringt offenbar FixEin Nutzer hat den Fehler im offenen Bugtracking-System für Apple-Software, OpenRadar, bereits vor zwei Tagen öffentlich gemacht. Apple hat darauf bislang nicht reagiert. Allerdings berichten Entwickler, die die dritte oder vierte Beta von macOS 10.13.3 einsetzen, dass dort nicht mehr ein falsches Passworts genutzt werden kann, um auf die App-Store-Systemeinstellungen zuzugreifen. Apple hatte im November eine noch deutlich schwerere Lücke in macOS High Sierra einräumen müssen. Dabei war es möglich, sich ohne Eingabe eines Passworts einen Root-Zugang zu verschaffen, was unter Umständen auch von außen möglich war. (bsc)
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Hier darf's auch ein beliebiges Passwort sein. (Bild: Screenshot via 9to5Mac) Nach dem schwerwiegenden Root-Fehler haben Nutzer ein zweites Passwortproblem in Apples aktuellem Mac-Betriebssystem gefunden: Die Einstellungen des Mac App Store lassen sich mit jeder beliebigen Zeichenkette öffnen. Die Sicherheitslücken in macOS High Sierra scheinen kein Ende zu nehmen: Nach dem für Apple sehr peinlichen Root-Fehler wurde von Nutzern nun ein zwar weniger schlimmes, aber ähnliches Problem festgestellt. Systemeinstellungen akzeptieren falsches PasswortDer Fehler betrifft die Anwendung Systemeinstellungen und dort den Karteireiter für den Mac App Store. Eigentlich sollte dieser nur gegen Eingabe eines Administratorpassworts für Veränderungen zugänglich sein. Es ist aber möglich, hier den Nutzernamen eines Administrators einzugeben und anschließend als Passwort jede beliebige Zeichenkette – das richtige muss es nicht sein. Nachvollziehbar scheint der Bug unter macOS 10.13, 10.13.1 sowie 10.13.2 zu sein. Updatefunktion kontrollierbarZur Ausnutzung des Bugs müssen einige Voraussetzungen erfüllt sein. So muss der eingeloggte Account, der die Sicherung umgeht, selbst ein Administrator sein, entsprechend muss der Angreifer auf den betreffenden Mac Zugriff haben und dieser wiederum offen sein, um die Systemeinstellungen aufzurufen. In den App-Store-Einstellungen selbst lässt sich unter anderem festlegen, ob Einkäufe und In-App-Verkäufe ein Passwort benötigen oder ob für kostenlose Downloads das Passwort gespeichert werden soll. Zudem können Betatester den macOS-Betatest verlassen. Außerdem können die Updates im Mac App Store aufgerufen sowie – und das ist wohl am problematischsten – automatische Updates auch für sicherheitsrelevante Probleme (de)aktiviert werden. Angreifer könnten so verhindern, dass Fixes schnell auf den Rechner kommen. Denkbar wäre etwa, dass Malware die Lücke ausnutzt, die auf Maschinen im Administratorbetrieb ausgeführt wird; sie würde dann keine Passworteingabe benötigen. Beta von macOS 10.3.3 bringt offenbar FixEin Nutzer hat den Fehler im offenen Bugtracking-System für Apple-Software, OpenRadar, bereits vor zwei Tagen öffentlich gemacht. Apple hat darauf bislang nicht reagiert. Allerdings berichten Entwickler, die die dritte oder vierte Beta von macOS 10.13.3 einsetzen, dass dort nicht mehr ein falsches Passworts genutzt werden kann, um auf die App-Store-Systemeinstellungen zuzugreifen. Apple hatte im November eine noch deutlich schwerere Lücke in macOS High Sierra einräumen müssen. Dabei war es möglich, sich ohne Eingabe eines Passworts einen Root-Zugang zu verschaffen, was unter Umständen auch von außen möglich war. (bsc)