Technik
Video
Mittwoch, 29. November 2017

Root für alle: In macOS klafft eine Monsterlücke

In Apples macOS klafft eine sehr gefährliche Sicherheitslücke. Über sie kann sich jeder Nutzer mit einem einfachen Trick den kompletten Zugriff auf das Betriebssystem eines Mac-Rechners verschaffen. Apple handelt umgehend.

Ein türkischer Entwickler hat in Apples macOS High Sierra eine extrem kritische Schwachstelle entdeckt und auf Twitter veröffentlicht. Jeder, der Zugriff auf einen Mac-Rechner hat, kann sich über sie problemlos als Administrator einloggen und erhält so die komplette Kontrolle über das Betriebssystem. Einzige Voraussetzung dafür ist, dass es sich um einen Rechner handelt, an dem sich mehrere Benutzer einloggen können und im gesperrten Zustand die Möglichkeit angezeigt wird, einen "anderen Benutzer" anzumelden.

Es genügt dann, bei der Anmeldung im Benutzerfeld "root" einzugeben, beim Passwort nichts einzutragen und dann mehrmals auf den Login-Button zu klicken. Die gleiche Prozedur klappt bei jedem Standard-Nutzer, wenn er in den Systemeinstellungen eine Veränderung vornehmen möchte, die Administratorrechte verlangt. Angreifer können so beispielsweise Spionage-Software installieren oder Nutzerkonten löschen.

Apple kalt erwischt

Die Sicherheitslücke ist eklatant und normalerweise sollte in so einem Fall erst das betroffene Unternehmen informiert werden, bevor die Schwachstelle öffentlich gemacht wird. So hätte Apple in diesem Fall die Möglichkeit gehabt, Mac-Rechner mit einem Update zu schützen, bevor die Lücke bekannt wird. Der Entwickler hat dies aber offenbar nicht getan, sondern ist sofort an die Öffentlichkeit gegangen. Laut "Wired" könnte dies daran liegen, dass Apple nur für iOS ein sogenanntes Bug-Bounty-Programm hat, über das es Belohnungen für gefundene und gemeldete Sicherheitslücken auslobt. Für macOS gibt es so etwas noch nicht.

Apple hat jedenfall hat nur wenige Stunden gebraucht, um eine Lösung zu finden, seit Mittwochnachmittag steht ein Sicherheitsupdate zur Verfügung. Um es zu installieren, öffnet man auf dem Mac den App Store und klickt in der oberen Auswahl auf Updates.

Ein Apple-Sprecher hat sich für die Panne entschuldigt: "Sicherheit hat für jedes Apple Produkt höchste Priorität, und leider haben wir dies bei dieser Version von macOS nicht komplett erfüllt. Als unsere Sicherheitsingenieure am Dienstagnachmittag [US-Westküstenzeit] auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, [17.00 Uhr MEZ] steht das Update zum Download bereit, und wird ab heute automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft. Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies in Zukunft nochmals geschieht."

Quelle: n-tv.de

Empfehlungen