macOS High Sierra: Sicherheits-Update gegen schwere Root-Lücke

29. November 2017 Kategorie: Apple, Backup & Security, geschrieben von:

Gestern wurde eine extrem schwere Sicherheitslücke im System Apple macOS High Sierra öffentlich. Jeder konnte sich als „root“ anmelden und dementsprechend System-Privilegien erlangen (CVE-2017-13872). Wie das Ganze geschah, beschrieben wir in diesem Beitrag und zeigten ein Video dazu. Nun ist ein Update erschienen, welches ihr auf jeden Fall schnellstens installieren solltet. Security Update 2017-001 behebt die Lücke. Ein Neustart ist nicht vonnöten.

Beschreibung

Security Update 2017-001

Released November 29, 2017

Directory Utility

Available for: macOS High Sierra 10.13.1

Not impacted: macOS Sierra 10.12.6 and earlier

Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password

Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.

CVE-2017-13872

When you install Security Update 2017-001 on your Mac, the build number of macOS will be 17B1002. Learn how to find the macOS version and build number on your Mac.

If you require the root user account on your Mac, you can enable the root user and change the root user’s password.

Statement Apple:

Sicherheit hat für jedes Apple Produkt höchste Priorität, und leider haben wir dies bei dieser Version von macOS nicht komplett erfüllt.
Als unsere Sicherheitsingenieure am Dienstagnachmittag [US-Westküstenzeit] auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, [17.00 Uhr MEZ] steht das Update zum Download bereit, und wird ab heute automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft. 
Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies in Zukunft nochmals geschieht.

Du entscheidest mit! Wir suchen das Smartphone des Jahres 2017! Jetzt abstimmen!

 

Über den Autor:

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 25458 Artikel geschrieben.