Klaffende Sicherheitslücke: macOS High Sierra lässt sich ohne Passwort entsperren

[jack_pott]

Wenn ich keinen Root-User aktiviert habe und der Anmeldebildschirm so konfiguriert ist, dass nur noch das Passwort eingegeben werden kann, funktioniert diese Lücke nicht, oder doch?

Der Anmeldebildschirm hat damit nichts zu tun. Geh einfach mal in die Einstellungen irgendwohin, wo du die Einstellungen gesperrt hast und klicke auf das Schloss. Anschließend kommt die Passwortabfrage, wo als Name dein Name steht und du dein Passwort zum Entsperren eingeben sollst. Da gibst du statt deines Namens nur root ein und kein Passwort. Dann klick auf "Schutz aufheben". Simsalabim. Heftiger Fehler seitens Apple. Wirklich unfassbar.

 

[EmHa]

Aber wie komme ich denn zu den Einstellungen, wenn ich im Anmeldeschirm gar keinen Benutzer auswählen kann?

 

[jack_pott]

Aber wie komme ich denn zu den Einstellungen, wenn ich im Anmeldeschirm gar keinen Benutzer auswählen kann?

Dann bist du geschützt, solange du nicht angemeldet bist. Noch besseren Schutz bieten ausgeschaltete Computer. Hab ich ausprobiert.

 

[saw]

Eventuell sollte Apple da mal mit machen[emoji41]

 

[Marcel Bresink]

Aber wie komme ich denn zu den Einstellungen, wenn ich im Anmeldeschirm gar keinen Benutzer auswählen kann?

Es gab im Forum in den letzten Monaten mehrere Beobachtungen, die darauf hindeuten, dass es wahrscheinlich noch weitere Situationen gibt, bei denen sich diese Lücke durch irgendeine "normale" Aktion des Benutzers in High Sierra von selbst aktiviert. Welche Aktion das sein könnte, ist unklar.

Wenn diese Annahme stimmt, ist es bei den betroffenen Rechnern so, dass sie bereits komplett offen stehen, ohne dass irgendein böser Benutzer den Trick mit den Systemeinstellungen aufgerufen hat.

 

[Cohni]

@jack_pott
Jetzt habe ich es kapiert, danke. Kann es nun auch reproduzieren. Allerdings bin ich zufällig durch meine Anmeldekonfiguration wie @EmHa geschützt.

Dennoch...Dickes Ding...

 

[djtwok]

Ein Grund noch eine Weile bei Sierra zu bleiben. Ist ja nicht der erste Fehler.

 

[jack_pott]

@jack_pott
Jetzt habe ich es kapiert, danke. Kann es nun auch reproduzieren. Allerdings bin ich zufällig durch meine Anmeldekonfiguration wie @EmHa geschützt.

Dennoch...Dickes Ding...

Ist bei mir genauso. Zusätzlich noch FileVault, das ja direkt nach dem Einschalten nach dem Passwort zum Entschlüsseln fragt.

Es soll aber auch Benutzer geben, die die automatische Anmeldung aktiviert haben. Kann ich bei nicht-so-technik-affinen Leuten ja auch verstehen, v.a. wenn nicht wirklich mit wichtigen Daten hantiert wird. Die Passwortabfrage käme ja trotzdem noch beim Installieren von Software etc. als Schutzmaßnahme. Aber wenn die sich durch diese Lücke umgehen lässt, dann ist das schon ein dickes Ding. Gerade Apple schreibt sich ja Benutzerfreundlichkeit auf die Fahne. Da darf sowas nicht passieren.

 

[GunBound]

Ganz ehrlich: Die Qualität der Produkte insgesamt - egal of Software oder Hardware - lässt bei Apple immer mehr zu Wünschen übrig!

Hat was...

 

[jack_pott]

(Quelle: https://www.pcwelt.de/a/neuer-britischer-flugzeugtraeger-nutzt-windows-xp,3447208)

Machen die am Ende damit noch alles richtig?

 

[ottomane]

Ja, Menschen machen Fehler und die automatisierte Fehlerfindung, findet auch nicht immer alle Fehler.

Daher testen Profis Software auch sowohl automatisch als auch manuell. Und erfahrene Profis entwickeln schon bei dem Entwurf der Software die zur Funktionalität der Software passenden Testszenarien.

 

[jack_pott]

So einen Fehler dürfte man eigentlich gar nicht erst einbauen.

 

[Macbeatnik]

Es wird vermutlich nicht eine umfangreichere Software geben, die fehlerfrei ist.
Ansonsten es geht das Gerücht, das bei systemprogrammen, wie zum Beispiel auch dem Festplatten Dienstprogramm kein Team oder Abteilung mehr programmiert, sondern ein popeliger Entwickler.

 

[eerie]

Aber bitte nicht übertreiben! Der Angreifer muss hierzu erst mal Zugriff auf euren Mac haben.

Wenn einige Sharing Services (zB. Screen-Sharing) aktiviert sind ist dann kommt der Angreifer auch remote auf Deinen Rechner - mit allen Root-User Rechten.

 

[u0679]

Machen die am Ende damit noch alles richtig?

eher nicht, XP ist ja nun auch völlig offen.
Aber ich finde es besorgniserregend, gerade bei solchen Systemen, die nuklear betrieben werden, bzw. solche Waffen an Bord haben.
Die Menschheit hat echt einen an der Waffel. :rolleyes:

Zur macOS Lücke, ich bin immer weniger zufrieden mit der Leistung, die Apple abliefert. Eigentlich bin ich 2012 genau aus dem Grund von 'Microsoft zu Apple gewechselt, um mich nicht mehr so sehr mit fehlerhaften Updaten, schwerwiegenden Lücken und häufigen Updates befassen zu müssen. Schuld ist meiner Meinung nach der unbedingt gewollte jährliche Zyklus in der Veröffentlichung von macOS und iOS.
Mittlerweile fange ich an, Linux zu benutzen und evtl. wird das dann irgendwann der neue "Hafen" für mich.

 

[Benutzer 190524]

Stellt sich die Frage ob und wie lange dieses Feature eventuell schon vorhanden war..
Der Sicherheitsbeteich ist ja nicht von heute auf morgen eingeführt worden sondern über die Jahre mitgenommen und weiter entwickelt worden.

Strange für Äppler in jedem Fall wenn man sich die Medien so durchliest da aktuell Apple zum Gespött der IT mutiert ist auf einschlägigen Plattformen...
Könnte sein das da in nächster Zeit neue Posten frei werden..

Was aber als besonderes Zuckerl zurück bleibt und einen Beigeschmack hat ist der Fakt das jegliche Betatests eher als Kosmetik anzusehen sind und maximal zur Funktionsverifizierung dienen und selbst da wird viel zu viel übersehen

 

[Sauron]

Aber ich finde es besorgniserregend, gerade bei solchen Systemen, die nuklear betrieben werden

Ist das Schiff denn mit Zugang zum Internet auf besagtes BS ausgestattet? Sollte das BS netzlos vor sich hin arbeiten, ist es doch Wumpe, ob es mit aktuellen Patches betrieben wird, solange es eben keinen Zugriff von außen gibt, mit dem Lücken ausenutzt werden können.

 

[Joh1]

eher nicht, XP ist ja nun auch völlig offen.

Wie kommst du darauf?
Es gibt für solche Kunden immer noch Updates für XP.
Auch sämtliche Bankautomaten (die natürlich nicht nuklear sind) laufen unter Windows XP.

Edit: Die Windows XP embedded Version erhält noch mindestens bis Mitte 2019 Updates.

 

[u0679]

Es gibt für solche Kunden immer noch Updates für XP.

ja teuer erkauft, trotzdem ist XP ein Flickenteppich, was nach so vielen Jahren auch gar nicht verwunderlich ist. Mit gutem Gewissen ist das nicht mehr einsetzbar.

 

[ChrisW90]

ja teuer erkauft, trotzdem ist XP ein Flickenteppich, was nach so vielen Jahren auch gar nicht verwunderlich ist. Mit gutem Gewissen ist das nicht mehr einsetzbar.

Mutige Aussage, wie kommst du dazu?


Dir ist schon klar, dass das XP, welches dort und auch woanders im Einsatz ist, nicht viel mit dem XP zu tun hat, was der Standardverbraucher nutzt?

Oftmals sind diese Systeme sogar deutlich sicherer als die „normalen“ aktuellen Systeme und es kümmern sich eine Vielzahl von (teuer bezahlten) Entwicklern darum, die Sicherheit zu gewährleisten.