Zweite Passwort-Lücke in macOS High Sierra

Nach dem schwerwiegenden Root-Fehler haben Nutzer ein zweites Passwortproblem in Apples aktuellem Mac-Betriebssystem gefunden: Die Einstellungen des Mac App Store lassen sich mit jeder beliebigen Zeichenkette öffnen.

In Pocket speichern vorlesen Druckansicht 76 Kommentare lesen
Zweite Passwort-Lücke in macOS High Sierra

Hier darf's auch ein beliebiges Passwort sein.

(Bild: Screenshot via 9to5Mac)

Lesezeit: 2 Min.
Inhaltsverzeichnis

Die Sicherheitslücken in macOS High Sierra scheinen kein Ende zu nehmen: Nach dem für Apple sehr peinlichen Root-Fehler wurde von Nutzern nun ein zwar weniger schlimmes, aber ähnliches Problem festgestellt.

Der Fehler betrifft die Anwendung Systemeinstellungen und dort den Karteireiter für den Mac App Store. Eigentlich sollte dieser nur gegen Eingabe eines Administratorpassworts für Veränderungen zugänglich sein. Es ist aber möglich, hier den Nutzernamen eines Administrators einzugeben und anschließend als Passwort jede beliebige Zeichenkette – das richtige muss es nicht sein. Nachvollziehbar scheint der Bug unter macOS 10.13, 10.13.1 sowie 10.13.2 zu sein.

Zur Ausnutzung des Bugs müssen einige Voraussetzungen erfüllt sein. So muss der eingeloggte Account, der die Sicherung umgeht, selbst ein Administrator sein, entsprechend muss der Angreifer auf den betreffenden Mac Zugriff haben und dieser wiederum offen sein, um die Systemeinstellungen aufzurufen.

In den App-Store-Einstellungen selbst lässt sich unter anderem festlegen, ob Einkäufe und In-App-Verkäufe ein Passwort benötigen oder ob für kostenlose Downloads das Passwort gespeichert werden soll. Zudem können Betatester den macOS-Betatest verlassen. Außerdem können die Updates im Mac App Store aufgerufen sowie – und das ist wohl am problematischsten – automatische Updates auch für sicherheitsrelevante Probleme (de)aktiviert werden. Angreifer könnten so verhindern, dass Fixes schnell auf den Rechner kommen. Denkbar wäre etwa, dass Malware die Lücke ausnutzt, die auf Maschinen im Administratorbetrieb ausgeführt wird; sie würde dann keine Passworteingabe benötigen.

Ein Nutzer hat den Fehler im offenen Bugtracking-System für Apple-Software, OpenRadar, bereits vor zwei Tagen öffentlich gemacht. Apple hat darauf bislang nicht reagiert. Allerdings berichten Entwickler, die die dritte oder vierte Beta von macOS 10.13.3 einsetzen, dass dort nicht mehr ein falsches Passworts genutzt werden kann, um auf die App-Store-Systemeinstellungen zuzugreifen.

Apple hatte im November eine noch deutlich schwerere Lücke in macOS High Sierra einräumen müssen. Dabei war es möglich, sich ohne Eingabe eines Passworts einen Root-Zugang zu verschaffen, was unter Umständen auch von außen möglich war. (bsc)