macOS High Sierra Sicherheitsupdate (mac OS 10.13.1)

Das ging wirklich fix bei Apple. Gestern hatte ich im Artikel Fette Passwortlücke in macOS High Sierra über ein Problem bei Apple berichtet. Wenige Stunden später gab es bereits ein Update zum Schließen der Lücke.


Anzeige

Das Problem bestand darin, dass bei macOS High Sierra Gast-Konten mit einem leeren Kennwort Zugriff auf den root User erhalten konnten. Der Entdecker hatte das per Tweet öffentlich gemacht.

Das Problem ließ sich zwar leicht entschärfen, indem man ein Kennwort für den Benutzer root vergab. Bereits gestern gab es den Kommentar, dass ein Fix für das Problem von Apple verfügbar sei (danke an den Nutzer). Bei 9to5mac.com gibt es einen Artikel zum Thema mit weiteren Details. Apple hat den Fix hier beschrieben:

SECURITY UPDATE 2017-001

Released November 29, 2017

Directory Utility

Available for: macOS High Sierra 10.13.1

Not impacted: macOS Sierra 10.12.6 and earlier

Impact: An attacker may be able to bypass administrator authentication without supplying the administrator's password

Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.

CVE-2017-13872

When you install Security Update 2017-001 on your Mac, the build number of macOS will be 17B1002. Learn how to find the macOS version and build number on your Mac.

If you require the root user account on your Mac, you can enable the root user and change the root user's password.

Da kann ich nur sagen: Daumen hoch. Apple hat den Benutzer root wohl deaktiviert und das Problem damit gelöst.


Anzeige

In diesem heise.de-Artikel findet sich der Hinweis, dass Apple das Update automatisch installiert (kann es mangels Mac nicht testen).

Filesharing reparieren

Allerdings ist Apple beim Fix ein Lapsus unterlaufen, der die Dateifreigabe blockiert. Die Kollegen von deskmodder.de berichten in diesem Beitrag darüber. Apple hat einen Support-Beitrag veröffentlicht, der den Fix beschreibt. Es ist die Terminal-App über den Zubehör-Ordner zu öffnen und der Befehl:

sudo /usr/libexec/configureLocalKDC

auszuführen. Das braucht administrative Berechtigungen. Im Anschluss sollten sich Dateifreigaben wieder nutzen lassen.

Ergänzung: Bei heise.de widmet sich dieser Artikel dem Update und dessen Nebenwirkungen. Das Update steht auch für macOS 10.13.0 zur Verfügung.

Ergänzung: Das Problem ist länger bekannt

Im Artikel Fette Passwortlücke in macOS High Sierra hatte ich berichtet, dass das Problem erst vor einigen Tagen öffentlich bekannt geworden sei. Das war offenbar falsch – die Insider Seite Daring Fireball hat sich des Themas hier angenommen. Bereits am 13. November 2017 gab es in einem internen Entwicklerforum von Apple einen Post, den man nur als bizarr bezeichnen kann.

  • Ein Entwickler beklagte am 8. Juni 2017, dass er mit einer Beta von der WWDC seine beiden Administratorkonten verloren habe.
  • Am 13. November 2017 postete ein Nutzer den Workaround, dass er den Benutzer root mit einem leeren Kennwort verwenden könne, um administrative Berechtigungen zu erhalten.

Diesen Post hat der Mensch, der das Ganze dann über Twitter öffentlich machte, dann auch gelesen.

Nachtrag: Achtung bei Update und Neuinstallation von macOS

Irgendwie steckt der der Wurm in mac OS High Sierra. Installieren Benutzer das Update von macOS 10.13.1 auf einem System, wo die Schwachstelle bereits gefixt war, ist der root-Benutzer wieder mit leerem Kennwort unterwegs, wie man z.B. bei heise.de nachlesen kann.


Anzeige

Dieser Beitrag wurde unter macOS X, Sicherheit, Update abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu macOS High Sierra Sicherheitsupdate (mac OS 10.13.1)

  1. Peter sagt:

    Wie sich hier liest, ist ein weiterer Bug mit dem Update verbunden:
    https://www.ifun.de/entdecker-der-root-luecke-apple-wurde-vor-einer-woche-informiert-115972

    Zitat: "Es lässt sich in den Systemeinstellungen unter Benutzer & Gruppen kein neues Administrator-Konto anlegen. Jedes Mal erscheint nach dem Anlegen eine Fehlermeldung."

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.