macOS High Sierra: Sicherheits-Update gegen schwere Root-Lücke

Gestern wurde eine extrem schwere Sicherheitslücke im System Apple macOS High Sierra öffentlich. Jeder konnte sich als „root“ anmelden und dementsprechend System-Privilegien erlangen (CVE-2017-13872). Wie das Ganze geschah, beschrieben wir in diesem Beitrag und zeigten ein Video dazu. Nun ist ein Update erschienen, welches ihr auf jeden Fall schnellstens installieren solltet. Security Update 2017-001 behebt die Lücke. Ein Neustart ist nicht vonnöten.

Beschreibung

Security Update 2017-001

Released November 29, 2017

Directory Utility

Available for: macOS High Sierra 10.13.1

Not impacted: macOS Sierra 10.12.6 and earlier

Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password

Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.

CVE-2017-13872

When you install Security Update 2017-001 on your Mac, the build number of macOS will be 17B1002. Learn how to find the macOS version and build number on your Mac.

If you require the root user account on your Mac, you can enable the root user and change the root user’s password.

Statement Apple:

Sicherheit hat für jedes Apple Produkt höchste Priorität, und leider haben wir dies bei dieser Version von macOS nicht komplett erfüllt.
Als unsere Sicherheitsingenieure am Dienstagnachmittag [US-Westküstenzeit] auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, [17.00 Uhr MEZ] steht das Update zum Download bereit, und wird ab heute automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft. 
Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies in Zukunft nochmals geschieht.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

10 Kommentare

  1. Man muss ja schon sagen, dass die Entdecker dieser Lücke ziemlich dämlich sind, hätten die sich diskret an Apple gewandt und nicht per Twitter, dann wären die über das Bug Bounty Programm mit bis 200.000 Dollar belohnt worden.

  2. Dann hätten sie aber deutlich weniger Publicity generiert. Jetzt haben sie sich einen Namen gemacht und sicher Interesse erregt. Da könnte langfristig mehr drin sein als mit einmaligen Auszahlungen

  3. Naja, was mir fehlt:
    Warum hat man nicht auf den Developer Forums Eintrag reagiert. Die Lücke war da bereits vor zwei Wochen gemeldet worden. Erst als durch die Veröffentlichung etwas Publicity in die Sachen kam hat sich Apple gerührt.

  4. >dann wären die über das Bug Bounty Programm mit bis 200.000 Dollar belohnt worden.
    Das gilt m.W. für iOS, nicht für macOS.

  5. @HO
    Man achte auf die Wortwahl.

    Soweit mir bekannt ist der Zugang zu Apples BugBounty Programm beschränkt und nur ausgewählte Entwickler können sich dort registrieren lassen und im Falle eines Falles die Belohnung abgreifen. Führt ein solches Instrument zwar ad absurdum, aber am Ende ist es ja das Unternehmen selbst, das entscheidet wie es mit derartigen Möglichkeiten umgehen möchte.

  6. Ernsthaft? Diese Lücke war Apple (und anderen Teilnehmern dieses Forums) schon seit 2 Wochen bekannt? Und erst durch Druck der Öffentlichkeit hat man entsprechend reagiert?
    Also wenn das wirklich so ist, dann ist das schon ein ziemliches Armutszeugnis für Apple.
    Einfach nicht zu glauben.
    Und wieder frage ich mich, was macht Apple mit dem ganzen Geld (inklusive der vorbeigeschleusten Steuern)?

  7. https://i.imgur.com/nxy5iBd.jpg

    https://forums.developer.apple.com/thread/79235

    Der Eintrag im Forum ist aktuelle nicht aufrufbar. War Apple wohl doch zu peinlich…

  8. Na das ist ja dann richtig peinlich!

  9. Genau, weil so ein Patch und Testen alles innerhalb von 24 Std. immer so funktioniert …
    Denke sie haben immer noch schnell genug reagiert …

  10. @Schokkohu „Der Eintrag im Forum ist aktuelle nicht aufrufbar.“
    Dafür landet man über den Link bei einem Eintrag, wo beschrieben wird, dass existierende Admin-Konten nach einem Update zu Standard-Nutzern degradiert sind und man danach mangels Verwalter-Rechten gar nichts mehr installieren kann.
    Das ist genau so lustig wie die root-ohne passwort Lücke, aber es ist ja ein Entwicklerforum, gerade um solche Fehler zu finden.

    Fast drei Wochen hat Apple also zur Behebung gebraucht. Man sieht hier, Sicherheit durch Verschweigen von Lücken herzustellen, funtioniert nicht sehr lange. Haben ja einige gefordert.

    Aber böse Leute finden dergleichen immer zuerst. Wenn man als Nutzer also nicht sauber informiert wird, hat man das Nachsehen und die Folgeprobleme auszubaden. Die Informationspolitik ist somit immer noch verbesserungsbedürftig. Dieses ‚Hater‘-Gelaber, wenn Apple kritisiert wird, wirkt hochgradig lächerlich.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.