Kritische Root-Schwachstelle: Apple veröffentlicht Sicherheits-Update für macOS 10.13
High-Sierra-Nutzer sollten das Sicherheits-Update 2017-001 "so bald wie möglich" einspielen, betont Apple – es werde in Kürze auch automatisch installiert. Die Lücke in macOS 10.13 ermöglicht eine Systemübernahme.
Apple hat am frühen Mittwochabend ein wichtiges Sicherheits-Update für macOS High Sierra zum Download bereitgestellt, dass eine massive Root-Schwachstelle schließen soll: "Installiere dieses Update so bald wie möglich", betont das Unternehmen in den Veröffentlichungsnotizen zum Security Update 2017-001 im Mac App Store – die Aktualisierung verbessere die Sicherheit von macsOS, Details werden dort allerdings nicht aufgeführt. Ein Neustart ist im Anschluss an die Installation nicht erforderlich.
Jeder darf Root sein – in High Sierra
Das Update beseitigt das "Root-Login-Problem", erklärt Apples Sicherheitschef auf Twitter und verweist auf ein bislang nur auf Englisch vorliegendes Support-Dokument: Das Sicherheits-Update schließe eine Schwachstelle in den Verzeichnisdiensten, führt das Unternehmen dort aus. Ein Angreifer könne die Admin-Authentifizierung umgehen ohne das Passwort des Administrators angeben zu müssen, so Apple – der Fehler sei durch eine "verbesserte Validierung der Berechtigung" ausgeräumt worden.
Das Update 2017-001 wird offenbar nur für macOS 10.13.1 High Sierra ausgeliefert. macOS 10.12.6 und frühere Versionen sind nicht vor dem Problem betroffen, betont der Hersteller. Nach erfolgreicher Installation sollte der Mac die Build-Nummer 17B1002 für macOS 10.13.1 in “Über diesen Mac” aufführen. Um den Build einzublenden, muss die Systemversionsnummer einmal angeklickt werden.
Root wieder deaktivieren!
Nutzer, die zum Schutz vor gravierenden Sicherheitslücke Root aktiviert und ein eigenes Passwort vergeben haben, sollten den Root-Account wieder deaktivieren, wie Apple generell empfiehlt – dieser Benutzer sei nicht für den “routinemäßigen Einsatz gedacht”.
[Update 29.11.2017 18 Uhr] In einer Stellungnahme hat sich Apple für die gravierende Schwachstelle bei allen Mac-Nutzern entschuldigt. Sicherheit sei eine "Top-Priorität" bei jedem Apple-Produkt und man bedauere diesen Fehler sehr. Damit dies nicht nochmal passieren kann, werde man die Entwicklungsprozesse überprüfen. Das Sicherheits-Update soll in Kürze auch automatisch auf Macs eingespielt werden.
Das Sicherheits-Team habe von der Schwachstelle erst in der Nacht von Dienstag auf Mittwoch erfahren, so Apple weiter – und sofort mit der Arbeit an dem Update begonnen. Inzwischen wurde bekannt, dass die Schwachstelle schon seit mindestens zwei Wochen öffentlich ist – und auch in Apples Entwicklerforum diskutiert wurde. Ob die Root-Lücke in diesem Zeitraum bereits für Angriffe zum Einsatz kam, bleibt unklar.
[Update 30.11.2017 13:55 Uhr] Das Sicherheits-Update kann die Dateifreigabe in High Sierra lahmlegen, Apple hat einen Workaround für betroffene Nutzer veröffentlicht. (lbe)