Schwere Sicherheitslücke in macOS High Sierra ermöglicht Admin-Zugriff (2. Update)

Thread Starter
Mitglied seit
06.03.2017
Beiträge
114.157
macos-highsierra.jpg
Derzeit scheint Apple mit schweren Sicherheitslücken für sein Desktop-Betriebssystem macOS High Sierra zu kämpfen. Vor ein paar Wochen wurde eine schwere Sicherheitslücke für verschlüsselte APFS-Laufwerke bekannt, die kurz darauf geschlossen wurde. Nun wurde eine weitere bekannt, die dem Admin-Zugriff auf das System zulässt, ohne dass ein Kennwort eingegeben werden muss.Die von Lemi Ergin beschriebene Lücke kann über folgende Schritte nachverfolgt werden:1. Systemeinstellungen öffnen
2. Benutzer...

... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Scheinbar ist macOS nicht nur für DAUs, sondern auch von DAUs gemacht. Das mit der Merkhilfe war ja schon pervers, aber es wird tatsächlich nochmal nachgelegt...
 
Man sieht bei meinem AppleTV mit neuestem Betriebssystem, welches Kennwort ich auf meinem iPhone eingebe, wenn es mit dem AppleTV verbunden ist, und nach einem mehrminütigen Video auf den Lock-Screen geht.

Ich bin wirklich von der Qualität mehr und mehr enttäuscht und auch besonders davon, dass solche Sicherheitslücken so lange nicht behoben werden.
 
Wann gab es das letzte Mal auf Windows derart eklatante Sicherheitslücken? ;)
 
Ich glaube manche sollten sich generell davon verabschieden das ein System wesentlich sicherer ist als ein anderes, das ist ein Mythos den manche gerne verbreiten wollen, alle BS sind sicher und gut auf ihre wiese, Windows ist auch nicht unsicherer als die anderen, für die anderen interessieren sich aus ökonomischen beziehungsweise mittlerweile Historischen Gründen nun mal wesentlich weniger Kriminelle, bei solchen Diskussionen gebe ich gerne folgenden Klassiker Link zum besten um einer irritierenden Diskussion den Wind aus den Segeln zu nehmen : Windows ist wesentlich sicherer als OS X, iOS und Linux Kernel
Auch wenn der Link manchen die eigene Illusion nimmt, vor allem die daran glauben wollen...
 
Naja, dass Winfuture sowas postet ist ja klar - schließlich können sie die Seite dicht machen, wenn es Windows nicht mehr gäbe, bzw. es nicht mehr eingesetzt würde. Die wettern wo es nur geht, gegen andere Betriebssysteme.

Das, was in der Überschrift des Artikels aus Deinem Link steht, ist falsch. Und ja, ich traue mir tatsächlich zu, das so knapp und deutlich zu schreiben, und kann mich da auch auf das BSI berufen, das beispielsweise die Sicherheit von SUSE Linux und Redhat Enterprise Linux zertifiziert hat, während OS X und Windows nicht als sichere Systeme zertifiziert wurden (eigentlich auch logisch, wenn man nur an Cortana, den standardmäßigen Keylogger usw. denkt, dann wäre es doch völlig absurd, wenn es ein BSI-Zertifikat bekäme)

Edit2: Das Problem ist halt: Dass Windows Tastatureingaben an Microsoft sendet und biometrische Daten, ist ja Absicht. Folglich sind diese ganzen Features in der Liste nicht als Bugs gekennzeichnet. Außerdem werfen sich bei jedem für den Linux-Kernel vorbereiteten Code erst mal eine ganze Menge von Leuten drauf, die aktiv nach Bugs suchen, oder kleinere Bereinigungen vornehmen.
Jeder kann im Linux-Kernel selbst Bugs melden, und das habe ich beispielsweise selbst auch schon getan. Es ist klar, dass bei geschlossener Software viele Bugs gar nicht bekannt sind, bzw. auch intern geführt werden, ohne sie öffentlich zu kommunizieren, somit kann man die Statistik schon vergessen. Möglicherweise ist ja OSX auch sicherer als Windows(auch, wenn man nach diesem Artikel dran zweifeln kann), aber Apple gibt die Bugs möglicherweise transparenter zu. Das könnte ja auch sein. Somit ist die aufgeführte Statistik nichtssagend - es sei denn, alle Programme wären OpenSource und somit hätte man Einsicht, ob auch wirklich alle Bugs einfließen.

Dass Linux für Virenhersteller nicht so interessant sei, ist zudem ein völlig unlogischer Mythos.
Die überwiegende Mehrzahl aller Computer basiert auf einem Linuxkernel. Lediglich Desktoprechner haben zu ca. 90% Windows installiert. Somit lohnt sich Linux als Angriffspunkt für Schädlinge am meisten. Und es wird ja auch häufig zur Zielscheibe. Aber die typischen Tricks, die gegen naive Desktopnutzer zielen, die zielen nicht auf die Linux-Desktopnutzer ab, weil der Anteil geringer ist.
Die Lücken werden deutlich schneller geschlossen und durch das OpenSource-Prinzip fallen sie auch schneller auf - häufig noch, bevor fehlerhafter Code im finalen Kernel landen kann.

Über die weiteren Sicherheitsmerkmale, die Linux(aber natürlich auch andere, wie FreeBSD/OpenBSD oder auch Hurd) gegenüber Windows, und teilweise auch OS X haben, habe ich hier bereits einiges geschrieben: Anfängerfragen - Linux Neuling? Hier ist der richtige Platz für deine Fragen (2) - Seite 208

Im übernächsten Linux-Kernel 4.16 wird beispielsweise ein neues Sicherheitsfeature namens KAISER eingeführt, das an der Universität Graz entwickelt wurde. Das ist ja das schöne, vieles kommt zuerst in Linux, bevor es Firmen in ihre Programme einbauen, weil Linux auch das System ist, womit in der Regel an Universitäten geforscht wird, beispielsweise bei der Robotik, Kompression, Netzwerken, generell eingebetteten Systemen oder eben auch der Sicherheit.

Edit: Um nochmal OS X aufzugreifen: Apple OS X basiert auf einem BSD-Kernel und hat eigentlich beste Vorraussetzungen, besser als Windows zu funktionieren. Aber ganz offensichtlich hilft einem auch eine Programmiersprache wie Swift nichts, wenn man schlechte Entwickler hat, die so offensichtliche Lücken in den Code bauen. Hier wurde an mehreren Stellen versagt, insbesondere auch darin, dass der OS X-Nutzer bei der Installation anscheinend gar kein Root-Kennwort vergeben muss und Apple somit darauf vertraut, dass alle ihre Schranken zu Root funktionieren. Das ist aus Sicherheitsperspektive einfach nur dumm und naiv.
 
Zuletzt bearbeitet:
Die überwiegende Mehrhahl an Rechner basiert auf Linux? Puh, also das Zweifel ich mal extremst an, sehe total das Gegenteil.
Mir fallen ehrlich gesagt kaum Bereiche ein, in denen Linux verwendet wird. Server, Industrieanlagen und kleine Adruinos&Co in Forschung etc fallen mir da nur ein. In anderen Wirtschaftsbereichen sehe ich da auch nichts. Bei uns im Unternehmen und Uni laufen die Workstation mit Windows, da darauf die Programme entwickelt werden.
Die meisten Computer gibts wohl im Privaten Umfeld. Hier sehe ich Win, macOS, iOS und Android quantitativ überragend vorne.
 
Die überwiegende Mehrhahl an Rechner basiert auf Linux? Puh, also das Zweifel ich mal extremst an, sehe total das Gegenteil.

Doch, da muss ich ihm ausnahmsweise mal Recht geben. Du denkst nur an Server, aber was ist mit den ganzen anderen nicht-Desktop-Geräten? Dein Smartphone? Wenn es ein Android ist, ist es Linux. iOS? Dann ein OS basierend auf BSD, welches wie Linux von UNIX abstammt. FRITZ!OS, ebenfalls Linux. Könnte mir vorstellen, dass die Telekom Speedports ebenfalls einen UNIX-Abkömmling nutzen. Smart TVs? Durch die Bank weg Linux. Auch Samsungs Tizen basiert auf Linux.

Hier sehe ich Win, macOS, iOS und Android quantitativ überragend vorne.

macOS, iOS und Android, alle drei Linux oder BSD. Glaube du vertust dich da grad ein wenig.

Edit: Speedports basieren ebenfalls auf Linux.
 
Zuletzt bearbeitet:
Nein, Android ist kein Linux. Auch Unix Systeme sind kein Linux, sodass dies Sicherheitstechnisch relevant sein kann.

Hier gehts es nicht um die Geschichte der Informatik, die zweifellos auf Unix basiert, es geht um Sicherheitslücken, die Plattformübergreifend genutzt werden können.
 
Zuletzt bearbeitet:
In den Systemeinstellungen zeigt mir mein Android-Telefon die Version des Linux-Kernels und bei XDA-Developers bauen sie ihre eigenen Kernel aus den Linux-Quellen. Doch, Android IST ein Linux. Und UNIX-Systeme, was auch macOS und iOS sind, teilen sich zu einem großen Teil die gleichen Anwendungen wie "richtige" Linux-Distributionen. Ganz grobes Beispiel: Das Drucksystem CUPS ist von Apple entwickelt, wird von macOS eingesetzt und ist auch der Quasi-Standard unter Linux. Windows ist im Vergleich eine Minderheit.
 
Linux ist auch gar kein Betriebsystem, sondern nur der Kernel und Android verwendet sehr wohl diesen.
 
Nein, Android ist kein Linux. Auch Unix Systeme sind kein Linux, sodass dies Sicherheitstechnisch relevant sein kann.

Hier gehts es nicht um die Geschichte der Informatik, die zweifellos auf Unix basiert, es geht um Sicherheitslücken, die Plattformübergreifend genutzt werden können.

Hab ich was verpasst? Seit wann nutzt Android keinen Linux Kernel? Schon mal mit Roms etc. beschäftigt?
 
Linux findet man sehr sehr oft.
In vielen Geräten steckt Linux, ohne das der Anwender überhaupt daran denkt.
Beispielsweise mein TV (kann keine Smart-Geschichten): Die Firmware ist Linux-basiert.
Oder viele andere Geräte, wie AV-Receiver, DVD- und BluRay-Player, Beamer, Waschmaschinen, Hausautomation, etc. etc.
In einem Großteil aller Geräte, die per Software gesteuert werden, basiert die Firmware auf Linux.
Einfach mal die herunterladbaren FW-Updates diverser Geräte debuggen, dann sieht man das schön.

Übrigens ist so ein Bug wie im aktuellen MacOS auch nicht neu.
Ich erinnere mich an SINIX, das Unix-Derivat von Siemens aus den 80ern/90ern.
Da war die etc/passwd für jeden User änder- und beschreibbar.
Die Passworte der User waren da drin zwar verschlüsselt abgelegt, aber das war kein Hindernis.
Man musste nur den String des eigenen Passworts bei root eintragen, schon konnte man sich auf dem System mit dem eigenen Passwort als root anmelden.
Dann Schweinereien machen und danach den ursprünglichen Passwort-String wieder bei root eintragen.
 
Was willst du mit dem saudämlichen Kommentar jetzt hier? :hmm:

Update mit Fix ist übrigens heute von Apple freigegeben worden.
 
Was ist da nur los bei Apple? Letztens der riesige Bug mit der HDD Verschlüsselung, jetzt das? Sowas darf nicht mal einer ein Mann Klitsche passieren, für Apple ist sowas ein Armutszeugnis.
 
Tommy_Hewitt schrieb:
Was willst du mit dem saudämlichen Kommentar jetzt hier? :hmm:

Update mit Fix ist übrigens heute von Apple freigegeben worden.
Da fühlt sich einer ja persönlich angesprochen. Das gefällt mir. Auch ohne Sicherheitslücke kann man jedem Apple Konsumenten immer eine verbale Schelte mitgeben. Denn bei einem Börsenwert von 770 Milliarden Dollar ist es natürlich zwingend notwendig, jede nur erdenkliche Steuerersparnis zu nutzen. Moral und Verantwortung kennen die Herren und wenigen Frauen in der Administration bei Apple nicht.

Wenn man aber als Tim Cook kräftig austeilt und anderen Steuervermeidungsfirmen wie Google, Microsoft Fahrlässigkeit bei der Sicherheit vorwirft, ist so eine Sicherheitslücke die Krone der Peinlichkeit.
Nein, Apple und all die anderen Steuervermeidungsfirmen sind nicht Schuld an der Ungerechtigkeit in dieser Welt. Schuld sind wir unmündigen egoistischen Konsumenten, die sich verhalten als hätten sie einen IQ von knapp über der Körpertemperatur und mit ihrem Verhalten den Firmen den Freibrief geben, immer so weiter zu machen.

An die HWL Redaktion.
Mac OS unter der Rubrik Informationen, Diskussionen und vieles mehr zu Microsoft Windows 7 und Server 2008 R2, mach Sinn :)
 
Zuletzt bearbeitet:
Es ist eine News über eine Sicherheitslücke, es geht hier weder um die Preise noch um die ach so dämlichen "Jünger". Genauso wenig wie es hier gerade um Steuerersparnisse geht. Macht nen Thread auf mit "Warum wir Apple hassen", da könnt ihr euch dann gerne alle auslassen.

Bei jeder Meldung über Apple kommt aber irgendeiner und fängt an die Käufer zu beleidigen, das kotzt mich an. "Auch ohne Sicherheitslücke kann man jedem Apple Konsumenten immer eine verbale Schelte mitgeben." Was soll so ne Aussage?

Und jaaaa Sherlock, ich besitze ein MacBook und ein iPhone, ich bin ja total verblendet und preise den heiligen Apfel täglich :hmm:

Hat schon seine Gründe wieso ich in Foren kaum noch was schreibe...
 
@Tommy_Hewitt

nichts für ungut, so ist das aber wenn man jahrlang von oben herab mit abwertenden Blick alle für doof erklärt hatte nur weil sie kein anständiges Handy besitzen ................

ich konnte der Argumentation meines Sohnes soweit folgen, dass er ein IPhone besaß mit der Begründung er sei für die ganzen Programme einschließlich dem BS System zu doof alles auf die Reihe zu kriegen. Deshalb hatte er ein IPhone da ist alles drauf was er braucht und in seiner eigenen Ökowelt sicher und läuft ............... Umso mehr sind jetzt die aufkommenden Sicherheitslücken schon peinlich
 
Lustigerweise fallen mir die meisten herablassenden Kommentare unter Apple-News auf. Markenhass selbst werd ich sowieso nie verstehen, wenn mir die Produkte einer Marke nicht gefallen, ist mir jene halt einfach egal.

Und klar sind solche Sicherheitslücken sehr peinlich, in letzter Zeit gabs so einige Dinge bei Apple die so total unnötig waren. Nicht nur die Sicherheit betreffend, allgemein einfach Fehler die aus reiner Schlampigkeit entstanden sind.
 
Nicht nur wurden die OS X Versionen nach und nach immer stärker im Umfang und in den Möglichkeiten beschnitten, jetzt sind auch noch solche stümperhaften Fehler Usus oder wie? Peinlich, peinlich...

Ein Glück kann jeder sein MacBook mithilfe von W10 mit einem rel. vernünftigem Betriebssystem ausstatten.
 
Ja, das "Jeder" ist echt lustig! :heuldoch:
 
Bei Windows ist der Fehler doch von Haus aus aktiv XD

Zumal bei physischen Zugriff eigentlich eh alles zu spät ist
 
Zuletzt bearbeitet:
Das Schließen der Sicherheitslücke führt bei einigen Nutzern offenbar dazu, dass die Netzwerkfreigaben nicht mehr funktionieren. [...]
"sudo /usr/libexec/configureLocalKDC" eingeben [...]
Danach sollten die Freigaben wieder ohne Probleme funktionieren.
Aufhören, aufhören :lol::lol: Ich schieß mich weg vor Lachen :lol::lol:

Da scheint jemand panisch alle Patches reinzuschaufeln, ohne ein Review zu machen :rofl:
 
Haltet mal euer Popcorn bereit. Der Bug wurde schon vor mehreren Wochen in Apples Supportforum erwähnt.

Money Quote:
A week ago the infrastructure staff at the company I work for stumbled on the issue while trying to help one of my colleagues recover access to his local admin account. The staff noticed the issue and used the flaw to recover my colleague’s account. On Nov 23, the staff members informed Apple about it. They also searched online and saw the issue mentioned in a few places already, even in Apple Developer Forum from Nov 13. It seemed like the issue had been revealed, but Apple had not noticed yet.

Source: Daring Fireball: High Sierra Root Login Bug Was Mentioned on Apple’s Support Forums Two Weeks Ago

(Achja, man kann durchaus Apple-Hardware besitzen und gegen Apple meckern. So schwer is das nicht.)
 
Sofern man den Root-Patch unter 10.13 eingespielt und anschließend ein Upgrade auf 10.3.1 macht, soll bei einigen Usern auch der Root-Bug wieder vorhanden sein.
 
Sofern man den Root-Patch unter 10.13 eingespielt und anschließend ein Upgrade auf 10.3.1 macht, soll bei einigen Usern auch der Root-Bug wieder vorhanden sein.

Das dürfte doch gar nicht funktionieren. Der Patch ist doch nur für 10.13.1 erschienen.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh