macOS High Sierra - schwerwiegende root Sicherheitslücke

  • Autor
  • Nachricht

ImpCaligula

Offline

Benutzeravatar


  • Wohnort: ROM
1  Di Nov 28, 2017 22:51
Apple macOS High Sierra hat mit dem "root" eine schwerwiegende Sicherheitslücke:
https://twitter.com/lemiorhan/status/935578694541770752

Inzwischen sind die (vor allem US) Magazine und Foren voll damit - samt möglichen Workarounds. Allerdings weiß noch niemand 100% inwiefern diese Workarounds auch entsprechend die Sicherheitslücke komplett schließen.

https://9to5mac.com/2017/11/28/how-to-s ... -password/
https://www.macrumors.com/2017/11/28/ma ... in-access/
https://www.theregister.co.uk/2017/11/2 ... gh_sierra/

Hier auch deutschsprachig. Interessant - sich bei macOS High Sierra abmelden und eine dritte fremde Person loggt sich am unbeaufsichtigten Rechner einfach als root ohne (!) Passwort ein:
http://stadt-bremerhaven.de/macos-high- ... -erlauben/


----
Man man Apple... das ist ein Bock! Aber wie schon im anderen Forum geschrieben - Hauptsache das neuste Update hat 100 neue tolle Emojis .... Cupertino weiß welche Prioritäten man setzen muss.
Oderint dum metuant!

Macci

Offline

Benutzeravatar

Moderator




  • Wohnort: Leibzsch
2  Di Nov 28, 2017 22:57
Habs auch schon kurz in den Warnhinweisen erwähnt: viewtopic.php?f=5&t=55284&start=1080#p1457082

Aber deine Übersicht ist natürlich viel besser. Wenn man in dem Zusammenhang von "besser" reden kann. Was für ein Bock, den Apple da geschossen hat! Die scheinen wirklich keine Qualitätskontrolle fürs MacOS mehr zu haben. :schimpf:

ImpCaligula

Offline

Benutzeravatar


  • Wohnort: ROM
3  Di Nov 28, 2017 23:03
Ah Danke - sorry, das hatte ich übersehen. Aber vielleicht auch "besser" wenn "wir" an mehreren Stellen warnen, wo es passt. Danke Dir nochmals für den Hinweis.

-----
Bock? Da hast wohl Recht. Wenn es so kommt, wie ich denke, wird morgen da eine ziemliche Lawine über Apple rollen. Das einzig positive wäre für mich - wenn Cuppertino mal so richtig "das fett" abbekommen würde - damit die dort mal wieder aufwachen und sich auf das Kerngeschäft und Kernkompetenzen konzentrieren!

Die leben da aktuell in einer alles ist iPhone und Emojis Parallelwelt .... wird Zeit das man sich mal wieder auf eines der früheren Pluspunkte Sicherheit unter macOS kümmert ... statt bald jedes Jahr ein neues macOS auf den Markt zu werfen.
Oderint dum metuant!

Macci

Offline

Benutzeravatar

Moderator




  • Wohnort: Leibzsch
4  Di Nov 28, 2017 23:06
Von mir aus kann es weiterhin jedes Jahr ein neues MacOS geben. Aber die Grundwerte müssen erhalten bleiben - Sicherheit und Bedienbarkeit. Wenn ich die Entwicklung von iOS sehe, habe ich Befürchtungen, was die Bedienbarkeit betrifft. Dass jetzt noch simpelste Sicherheitsregeln außer Kraft gesetzt werden und es niemand bei Apple bemerkt, veranlasst zu größter Sorge.

ImpCaligula

Offline

Benutzeravatar


  • Wohnort: ROM
5  Di Nov 28, 2017 23:10
Pass auf... das öffnen von Kerneigenschaften unter iOS und macOS für Drittanbieter Entwickler - wird noch zu viel ärgeren Sicherheitslücken führen! Dass Apple nun Kernbereiche des Betriebssystems iOS / macOS für Entwickler frei macht - wird zu ähnlichen Problemen wie bei Android führen...

Aber wichtig - wichtig ist dass auch Drittanbieter Apps Emojis und iMessage verwenden können für noch mehr Gimicks die keine Sau wirklich braucht.

Sorry - aber dieser Bock ist einfach zu heftig.

Ich kann morgen erst mal meine ganzen Kunden abtelefonieren und auf die Sicherheitslücke aufmerksam machen. Super. Tag schon gelaufen.
Oderint dum metuant!

polysom

Offline

Benutzeravatar


  • Wohnort: Dresden
6  Di Nov 28, 2017 23:22
Macci hat geschrieben:Die scheinen wirklich keine Qualitätskontrolle fürs MacOS mehr zu haben. :schimpf:

Doch, z.B. eine monatelange Betaphase mit freiwilligen Testern. Von denen hat es auch keiner bemerkt.
Bild
Solange Kakaobohnen an Bäumen wachsen, ist Schokolade für mich Obst.
Homepage - Securebird - Soundcloud - Mixcloud

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
7  Di Nov 28, 2017 23:26
Nun ja, wie soll man auch etwas merken, wo bisher immer alles in Ordnung war bzw. sich verhielt wie es sollte?
In eine per se saubere, sichere und funktionierende Routine ist Sand geschmissen worden.

Ich kontrolliere auch nicht jeden Tag, ob im Kühlschrank immer brav das Licht ausgeht, wenn die Tür schließt: das wurde einmal so konstruiert, funktioniert ganauso und gut is‘…

Macci

Offline

Benutzeravatar

Moderator




  • Wohnort: Leibzsch
8  Di Nov 28, 2017 23:35
So ist es. Wenn die Betatester jetzt anfangen müssten, statt der neuen Funktionen auch noch die grundsätzlichen Eigenschaften des Systems zu prüfen, hätte Apple gründlich was missverstanden.

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
9  Di Nov 28, 2017 23:45
Kann natürlich auch sein, dass sich die NSA inzwischen so unfähig erwiesen hat, an verschlüsselte Inhalte zu gelangen, dass sich Apple mitleidig zeigte?
Diese Backdoor kommt uns zwar gewaltig vor, aber ist wohl für die Geheimdienste gerade groß genug, um sie nicht zu übersehen.

Macci

Offline

Benutzeravatar

Moderator




  • Wohnort: Leibzsch
10  Di Nov 28, 2017 23:47
Du meinst, sie ist trumptauglich? :lol:

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
11  Di Nov 28, 2017 23:48
:super:

ImpCaligula

Offline

Benutzeravatar


  • Wohnort: ROM
12  Mi Nov 29, 2017 0:19
Was "die Sache" interessant macht - eben ausprobiert.

Man arbeitet an seinem Mac, verlässt den Arbeitsplatz und meldet sich vorher ab. Jemand Anderes setzt sich vor den Mac, meldet sich als Gastuser an - und von dort aus dann als root ohne Passwort ... funktioniert ohne Probleme. Das nenne ich mal eine Sicherheitslücke. Holla die Waldfee...
Oderint dum metuant!

TOM

Offline

Benutzeravatar


  • Wohnort: Taunus Hills
13  Mi Nov 29, 2017 7:55
Na, ein wenig Bequemlichkeit bei der Arbeit ist doch auch nicht soo schlecht. ;)

Ständig das Passwort wieder einzutippen wenn man 'mal kurz den Arbeitsplatz verlassen hatte. :-)
Gruß TOM

Gewalt, egal von wem und gegen wen, lehne ich ab!

gemini0x4d

Offline

Benutzeravatar



  • Wohnort: In der Nähe von Stuttgart
14  Mi Nov 29, 2017 8:04
Nunja, wenn die Priorität einer Firma auf Emoji/Animojis liegt, dann kann sowas schonmal vorkommen :grin:

Gibts eigentlich einen „sad user“ oder noch besser einen „sad admin“ Emoji?
Gruß,
gemini

"Mich beschleicht Verwirrung die die Grenze zur Besorgnis stürmt."

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
15  Mi Nov 29, 2017 8:47
Ein klitzekleines bisschen finde ich es jetzt schade, dass ich nicht bei Twitter oder Fratzenbuch bin — der zu erwartende Shitstorm hat mit Sicherheit (sic!) hohen Unterhaltungswert!

TOM

Offline

Benutzeravatar


  • Wohnort: Taunus Hills
16  Mi Nov 29, 2017 9:24
:klimper:

Vielleicht konnte ich ja ein wenig dazu beitragen. :P
Gruß TOM

Gewalt, egal von wem und gegen wen, lehne ich ab!

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
17  Mi Nov 29, 2017 9:46
Du streust also auch Salz in die Wunde!

Aber was heisst Wunde: das ist das größte und dabei lächerlich Primitivste, was Apple sich nur leisten konnte!
Das ist imho nicht mehr zu toppen!

Armer Steve!

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
18  Mi Nov 29, 2017 9:49
Namensänderung: Tim Ruth Cook

lamariposa

Offline



  • Wohnort: bei Hamburg
19  Mi Nov 29, 2017 10:37
Rotweinfreund hat geschrieben:...der zu erwartende Shitstorm hat mit Sicherheit (sic!) hohen Unterhaltungswert!

Wieso Shitstorm :? Das ist kein Bug, das ist ein Feature!

Wie oft haben schon Leute rumgequengelt dass sie ihr Passwort vergessen haben und jetzt nicht mehr an ihre Daten kommen. Apple hat praktisch nur auf die Kundenwünsche reagiert um das Nutzererlebnis weiter zu verbessern :D :D :D

Dass jetzt Jeder an die Daten kommt - Schwamm drüber. Irgendwas ist halt immer 8) :-)
20  Mi Nov 29, 2017 12:33
besteht das Problem eigentlich wirklich nur "physisch", also wenn sich jemand direkt vor Ort einloggen will ?

Hätte vermutet, dass sich auch mögliche Angreifer von außen diesen Bug zunutze machen könnten !
MBP 13" (12.1), OS: 10.13, RAM: 16 GB, SSD: 850 Pro
iMac 2.4 GHz (8.1), OS: 10.11, RAM: 4GB, HDD: 250 GB
iPhone SE, 64 GB, iOS: 11
iPad mini 4; 16 GB Cellular; iOS: 11
FB 6490
DS 215j, DSM 6
21  Mi Nov 29, 2017 12:48
anscheinend auch mit remote desktop...
Espresso!

Kate

Offline

Benutzeravatar

Site Admin




  • Wohnort: B,NL,D
22  Mi Nov 29, 2017 12:48
Klar, sofern z.B. VNC, oder SecureShell oder sowas aktiv ist geht es auch ohne davor zu sitzen.

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
23  Mi Nov 29, 2017 13:09
… das ist ja halt das Gruselige!

Kate

Offline

Benutzeravatar

Site Admin




  • Wohnort: B,NL,D
24  Mi Nov 29, 2017 13:29
Die Installerskripte die bei der Installation arbeiten sind wohl verändert worden. Da ist wohl der Fehler passiert.
Und wie üblich kein Bild kein Ton und noch kein Update? Schwach. Sehr schwach.

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
25  Mi Nov 29, 2017 13:43
eben kam es sogar im Mittagsmagazin.
Aber ich denke, in Cupertino wird unter Volldampf repariert …

manuel

Offline

Benutzeravatar


  • Wohnort: Kreuzlingen, Switzerland
26  Mi Nov 29, 2017 14:26
lamariposa hat geschrieben:
Rotweinfreund hat geschrieben:...der zu erwartende Shitstorm hat mit Sicherheit (sic!) hohen Unterhaltungswert!


Wieso Shitstorm :? Das ist kein Bug, das ist ein Feature!

Wer geht in den Apple Store und demonstriert den Angestellten die tollen Möglichkeiten dieses Features?
"Diese Stadt hat absolut kein Flair. Stuttgart ist das Microsoft der Städte." - maiden

Rotweinfreund

Offline

Benutzeravatar


  • Wohnort: Vier-Tore-Stadt
27  Mi Nov 29, 2017 17:07
… du meinst in der Form von diskutil eraseDisk oder anderen berüchtigten Kommandos? :evil:

MacJoerg

Offline

Benutzeravatar



  • Wohnort: Rottenburg a.N.
28  Mi Nov 29, 2017 17:26
Sicherheitsupdate ist über den AppStore erhältlich.
Gruß, Jörg

Produo

Offline



  • Wohnort: nah am Kloster
29  Mi Nov 29, 2017 19:14
ja, Sicherheitsupdate 2017-001
Is mir egal - ich lass das jetzt so! - so isses
30  Mi Nov 29, 2017 19:57
Wow, das ist mal eine Reaktionszeit. Danke Apple :)
Bei Microsoft oder Android hätte man zwei Monate warten können :lol:
Nächste

Zurück zu Software

Wer ist online?

Mitglieder in diesem Forum: mama