macOS High Sierra: Keychain-Lücke sollte Euch nicht vom Update abhalten

Bereits gestern wurde eine Lücke bekannt, die das Auslesen von macOS Keychain-Einträgen über eine nicht signierte App und ohne Eingabe eines Passworts und ohne Meldung an den Nutzer ermöglicht. Während die Lücke existiert, hat Entdecker Patrick Wardle diese bisher nicht veröffentlicht. Das wird er erst machen, wenn sie von Apple beseitigt wurde. Seiner Meinung nach wird das bald der Fall sein, gemeldet hat er die Lücke am 7. September. Da nicht nur macOS High Sierra, sondern auch ältere Versionen von macOS betroffen sind, sollte einen die Lücke nicht von einem Update abhalten.

Denn während die Keychain-Lücke zwar auch im gestern veröffentlichten macOS High Sierra zu finden ist, ist sie eben nicht nur dort. Auch gilt zu bedenken, dass es eben keine unsignierte App benötigt, um diese Lücke auszunutzen, letztendlich könnte jede App solchen Code enthalten. Unsigniert war die App nur, um die niedrige Einstiegshürde darzustellen.

Und Wardle stellt gegenüber Gizmodo auch noch einmal klar, dass die Lücke durchaus auch von anderen – ob Menschen mit bösen Absichten oder Behörden (oder beides in einem) – gefunden werden kann, die mehr Zeit für so etwas aufwenden. Nutzt man für die Keychain übrigens ein anderes als das Anmeldepasswort (in der Regel sind diese gleich), funktioniert der Exploit von Wardle nicht.

Auch Apple äußerte sich, verweist auf die Standard-Sicherheitsmaßnahmen eines Mac, wie beispielsweise Gatekeeper und erklärt, dass Nutzer besonders auf Software-Dialoge achten sollen und Apps nur aus vertrauenswürdigen Quellen wie dem Mac App Store beziehen sollen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

12 Kommentare

  1. Mich hält auch nicht die Lücke vom Upgrade meines Mini ab, nur die beschissene Produktpolitik von Apple. Aber Windows 10 läuft auf SSD und mit 8GB RAM super, und zwar mit Updates. Also kein großer Verlust.

  2. @HAL9000
    Durften die Unternehmen die neue Version nicht testen, oder warum ist plötzlich eine Inkompatibilität?

  3. Eher sollte man bei Gelegenheit auf Hersteller wechseln die es fertig bringen ihre Produkte während der Betaphase anzupassen. Ich bin +20 Jahren Mac-Nutzer und sehe das immer wieder. Gerade Adobe bekleckert sich hier nicht gerade mit Ruhm. Zum Glück gibt es mittlerweile würdigen Ersatz für Photoshop und Illustrator.

  4. Er meldete die Lücke am 7.September.
    Welchen Jahres bitte?

  5. @Nina

    Da eine Jahresangabe fehlt, gehe ich mal stark von diesem Jahr aus.
    Ich sag ja auch nicht „Wir feiern im November 2017 30 jähriges Jubiläum“, sondern lasse die Jahresangabe in diesem Fall weg.

  6. Sascha Ostermaier says:

    @Nina: Da macOS High Sierra erst seit 2017 verfügbar ist (seit Juni als Beta), kann es sich nur um 2017 handeln, wenn in dieser Version die Lücke entdeckt wurde, oder?

  7. @Kalle, ganz so einfach ist es (zumindest bei mir) nicht. Wenn man ältere Software nutzt, die aus dem Supportzeitraum raus ist, aber von den Funktionen völlig ausreicht (zum Beispiel Office 2011), dann steht man halt doof da bzw. muss sich fragen, ob das Update dann sinnvoll ist. Ich habe mich noch gar nicht allzu sehr mit High Sierra auseinander gesetzt, aber einem Artikel hier zufolge, dreht es sich hauptsächlich um die Fotos App und Cloud Features. Beides nutze ich nicht (Software die dann anscheinend nicht mehr läuft aber schon), von daher ist die Frage ziemlich eindeutig: kein Update

  8. PS: wird man beim Update-Prozess eigentlich vor Inkompatibilitäten gewarnt?

  9. @Biff Tannen
    Deswegen schrieb ich ja „bei Gelegenheit.“

    Zwei Dinge finde ich noch nennenswert: Neues Dateisystem und Metal 2 (Grafik-API), beides sorgt gerade auf älteren Maschinen für bessere Performance.
    Und dann setzt Safari Machine Learning ein um Tracking Cookies zu erkennen und blockieren. Deswegen gab’s Geheul von der Anzeigenindustrie:
    https://www.theguardian.com/technology/2017/sep/18/apple-stopping-ads-follow-you-around-internet-sabotage-advertising-industry-ios-11-and-macos-high-sierra-safari-internet
    http://www.adweek.com/digital/every-major-advertising-group-is-blasting-apple-for-blocking-cookies-in-the-safari-browser/

  10. Bei macs gibt es keine Sicherheitslücken. Schwachsinn.

  11. Hab gestern schlechte Erfahrungen mit dem Update gemacht. Auf meinem MBP blieb die Installation plötzlich hängen und ließ sich auch nicht mit gutem Zureden wieder zum weiterlaufen bewegen.

    Letztlich blieb nur eine Neuinstallation von Sierra, Dank aktuellem TM-Backup kein grosses aber ein zeitintensives Thema. Bisher hatte ich bei den OSX Updates noch nie Probleme, aber irgendwann ist wohl immer das erste Mal.

    High Sierra kann mir erstmal gestohlen bleiben. Da ich den Fehler nicht ausmachen konnte, kann das jederzeit wieder passieren. Tipp an Alle, macht vor der Installation WIRKLICH nochmal ein TM-Backup, ansonsten kann es übel ausgehen…

  12. @Kalle, die Punkte, die du nennst machen das Update tatsächlich schon wieder interessanter. Danke!

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.