Klaffende Sicherheitslücke: macOS High Sierra lässt sich ohne Passwort entsperren

[ottomane]

Mittlerweile fange ich an, Linux zu benutzen und evtl. wird das dann irgendwann der neue "Hafen" für mich.

Ich komme aus der Linux-Ecke und überlege gerade, wieder dorthin abzuwandern. Zwar glaube ich, dass die aktuellen Apple-Sicherheitslücken bei mir nicht ausgenutzt werden werden, aber dennoch macht mir die Situation noch einmal die bedingungslose Abhängigkeit von einem einzigen Hersteller mit einem einzigen System klar. Allerdings ist mir das Gefummel unter Linux in schlechter Erinnerung. Ich bastle zwar gerne, aber ich brauche gleichzeitig ein System, das jederzeit produktiv ist. Weiteres Problem ist Microsoft Office. Dafür gibt es einfach keinen Ersatz. Nein, für mich tut es LibreOffice als Ersatz nicht. Auch das habe ich jahrelang genutzt (bzw. OpenOffice).

Bliebe als weitere Alternative Windows 10. Teils ist das für mich der blanke Horrorladen. Auch hier bin ich ausgeliefert. Aber hier funktioniert wenigstens Microsoft Office.

Tja, aktuell gibt es nur die Wahl zwischen, Pest, Cholera und irgendeiner anderen Seuche. Schade, dass z.B. OS/2 niemals Fuß gefasst hat damals.

Auch sämtliche Bankautomaten (die natürlich nicht nuklear sind) laufen unter Windows XP.

Und zwar in einer abgesicherten Umgebung. Gummizelle halt.

 

[u0679]

nicht viel mit dem XP zu tun hat, was der Standardverbraucher nutzt

was ist denn strukturell an der XP Basis anders als beim "normalen" XP?

Das einzige was gemacht wird, gegen entsprechende Summe liefert Microsoftsoft weiterhin Sicherheitsupdates um Lücken zu schließen.
Deswegen werden die Lücken, bzw. die Angreifbarkeit des Systems aber nicht weniger.

 

[ChrisW90]

was ist denn strukturell an der XP Basis anders als beim "normalen" XP?

Das einzige was gemacht wird, gegen entsprechende Summe liefert Microsoftsoft weiterhin Sicherheitsupdates um Lücken zu schließen.
Deswegen werden die Lücken, bzw. die Angreifbarkeit des Systems aber nicht weniger.

Sei mir nicht böse, aber deine Beiträge machen wenig Sinn und sind relativ ahnungslos.

Ganz kurz: Es kommen speziell angepasste XP Versionen zum Einsatz, die einen Großteil der „Basis“, wie du es nennst, überhaupt nicht nutzen.

Wie du darauf kommst, dass geschlossenene Sicherheitslücken und Sicherheitupdates die Sicherheit nicht erhöhen, erschließt sich mir ebenfalls nicht.

 

[u0679]

Wie du darauf kommst, dass geschlossenene Sicherheitslücken und Sicherheitupdates die Sicherheit nicht erhöhen, erschließt sich mir ebenfalls nicht

das habe ich vielleicht missverständlich geschrieben. Ich meinte damit, selbst wenn Lücken geschlossen werden, gibt es weitere Lücken.

Es kommen speziell angepasste XP Versionen zum Einsatz, die einen Großteil der „Basis“, wie du es nennst, überhaupt nicht nutzen.

Das war mir nicht bekannt, höre ich zum ersten mal. Wäre ja eine quasi neu Entwicklung von XP. Mein Wissenstand ist, dass MS gegen Geld den Extended Support verlängert und Sicherheitspatches zur Verfügung stellt.

 

[ChrisW90]

das habe ich vielleicht missverständlich geschrieben. Ich meinte damit, selbst wenn Lücken geschlossen werden, gibt es weitere Lücken.


Das war mir nicht bekannt, höre ich zum ersten mal. Wäre ja eine quasi neu Entwicklung von XP. Mein Wissenstand ist, dass MS gegen Geld den Extended Support verlängert und Sicherheitspatches zur Verfügung stellt.

Zu 1: Das gilt aber ja für jedes OS, und ist somit nicht unbedingt ein Argument gegen XP.

Zu 2: Eine wirkliche Neuentwicklung ist das nicht, mit speziell angepasst meinte ich, dass es Versionen gibt, die zB große Teile der Basis-Version weglassen, weil diese nicht gebraucht werden. Lücken, die diese Teile betreffen, werden also quasi von Beginn an ausgeschlossen. Ebenso gibt es für bestimmte Teile jedoch in der Tat „Entwicklungen“, die der Normal-User nicht nutzen kann.

Allgemein ging es mir darum, dass man pauschal nicht sagen kann „Ah die benutzen XP, selber Schuld, das ist veraltet und unsicher“.

 

[u0679]

Nachtrag: laut Microsoft gibt es da nichts "neues": https://www.microsoft.com/de-de/windowsforbusiness/end-of-xp-support

Und auch das hier sagt es aus:

"Microsoft bietet einen eingeschränkten Support für Unternehmen, die für eine verlängerte Unterstützung („Extended Support“) zahlen – eine Option, die mindestens 100.000 US-Dollar im Jahr kostet. Trotzdem sollten weitsichtige Unternehmen einen Plan entwickeln, wie sie ihre Systeme sofort absichern, und langfristig auf ein anderes Betriebssystem migrieren."

Sorry, aber von einer speziell angepassten Version lese ich nichts. Ich kann mir nicht vorstellen, dass Microsoft dass geheimhält, beim Militär vielleicht noch (Flugzeugträger), aber gewiss nicht bei Banken (Geldautomat)

P.S.: Das hier steht dazu bei Wikipedia: "Microsoft weist darauf hin, dass es nach diesem Termin keinerlei Sicherheitsaktualisierungen und technischen Support mehr gibt. Für Großkunden mit einem gesonderten, kostenpflichtigen Supportvertrag wird Microsoft jedoch auch über dieses Datum hinaus für eine begrenzte Zeit Aktualisierungen zur Verfügung stellen."

 

[ottomane]

Die Automaten nutzen teils anscheinend Windows Embedded. Das wird länger unterstützt:

https://blogs.msdn.microsoft.com/wi...port-of-windows-xp-mean-for-windows-embedded/

Viele Automaten laufen aber inzwischen auf Win7 und werden bald auf Win10 aktualisiert. All das spielt aber kaum eine große Rolle, denn sie sind abgeschottet vom Rest der Welt.

 

[ottomane]

Das Beste kommt noch: Die Lücke ist schon länger bekannt und eventuell ist auch jemand anderes der Entdecker. Dies bedeutet, dass sie möglicherweise schon ausgenutzt wurde, da die Öffentlichkeit nicht informiert war.

Ein User postet am 13.11.17 im Apple-Developer-Forum das Ausnutzen dieses Fehlers als Lösung für Probleme, sich als Admin einzuloggen!

Hier ist der Nachweis:
https://forums.developer.apple.com/thread/79235

"Solution 1:

On startup, click on "Other"

Enter username: root and leave the password empty. Press enter. (Try twice)

If you're able to log in (hurray, you're the admin now), then head over to System Preferences>Users & Groups and create a new Admin account."

 

[MACaerer]

Stellt sich die Frage ob und wie lange dieses Feature eventuell schon vorhanden war..
Der Sicherheitsbeteich ist ja nicht von heute auf morgen eingeführt worden sondern über die Jahre mitgenommen und weiter entwickelt worden.

Gerade ausprobiert: Im Vorgänger-System Sierra ist diese Art der root-Anmeldung oder Aushebelung von geschützten Einstellungen nicht möglich.

MACaerer

 

[Mitglied 39040]

Eben gab es ein Sicherheits-Update… hoffentlich ist es »dasjenige welches…«

 

[Benutzer 190524]

Strange

Deinem Linuxgedanken konnte ich periodisch immer wieder etwas abgewöhnen und wurde doch immer wieder zurück geholt zu Systemen die von mir benötigte Software bedienten..

Das mag bei Office noch leicht funktionieren aber bei Contentcreators für Video Bild und Audio ist es schon ganz schön schwierig..

Als Beispiel Resolve welches für CentOS zertifiziert ist, ist es der Supergau die aktuelle Ubuntu Rel die nicht Wayland kompatibel ist aufzubereiten.. von der Problematik der fehlenden System Audios ganz zu schweigen weiter zum fehlen des Prores Supportes.

Es ist nicht einfach ... aber trotzdem ein interessanter Ansatz

 

[u0679]

Eben gab es ein Sicherheits-Update

Das wäre prima, das wär wenigstens schnell reagiert.

 

[rocket6861]

Eben gab es ein Sicherheits-Update… hoffentlich ist es »dasjenige welches…«

Bei mir gibts nix.

 

[Verlon]

https://support.apple.com/en-us/HT208315

Security Update 2017-001
Released November 29, 2017

Directory Utility

Available for: macOS High Sierra 10.13.1

Not impacted: macOS Sierra 10.12.6 and earlier

Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password

Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.

CVE-2017-13872

 

[ottomane]

Ich wage gar nicht, mir auszumalen wie der Code aussah, der ermöglicht hat, dass der Login beim zweiten Mal klappte.

Security Update 2017-001

Immerhin. Apple wusste eventuell seit dem 13.11., spätestens aber seit dem 23.11. von dem Fehler. Anscheinend brauchte man öffentlichen Druck, um wirklich zu reagieren.

 

[rocket6861]

Danke !

 

[Cohni]

...Apple wusste eventuell seit dem 13.11., spätestens aber seit dem 23.11. von dem Fehler. Anscheinend brauchte man öffentlichen Druck, um wirklich zu reagieren.

Ich tippe eher auf einen verlorenen Wettlauf mit der Zeit. Das PR-Gau Potential werden sie wohl sofort erkannt haben. So ein Ding bis zum nächsten regulären Update aussitzen zu wollen und zu pokern...nee, das kann ich nicht glauben.

Peinlicher Fehler, der aber nun gefixt ist.

Edit PS: Sie haben sich sogar öffentlich entschuldigt. Dann hat dort die Hütte ordentlich gebrannt und der eine oder andere wird wohl nicht mehr für Apple arbeiten dürfen.

 

[Fresh_Prince]

Daher testen Profis Software auch sowohl automatisch als auch manuell. Und erfahrene Profis entwickeln schon bei dem Entwurf der Software die zur Funktionalität der Software passenden Testszenarien.

Und du möchtest mir mitteilen das diese Profis jedes Anwendungsszenario, sei es noch so abwegig, durchführen bzw. sich ausdenken können? Ich glaube kaum. Irgendwas bleibt immer im Verborgenen. Oftmals Kleinigkeiten, die medial bei Apple sofort eine große Welle schlagen und manchmal sowas Großes. Menschen machen Fehler. Da Menschen auch die Automatismen zur automatischen Fehlererkennung schreiben, wird diese auch nie fehlerfrei sein. Sollte es alles, ich werde aber nie daran glauben.

Das ist mir auch alles wieder zu übertrieben und schadenfroh von Vielen. Bei solchen Sachen kann man natürlich gut abledern. Seit Jahren wird Apple fallend gesehen. Ob es bezogen auf das liebe Geld ist oder von der Softwarequalität. Passiert ist bisher nichts. Kann wohl doch nicht so schlimm sein.

Und nein, ich relativiere nichts. Solche Art Fehler sind übelster Mist seitens Apple, aber diese Kultur der Überdramatisierung geht einem auf den Senkel.

 

[giesbert]

Ich wage gar nicht, mir auszumalen wie der Code aussah, der ermöglicht hat, dass der Login beim zweiten Mal klappte.

Why <blank> Gets You Root

 

[MACaerer]

Man kann jetzt auch mal die Kirche im Dorf lassen. Ich will jetzt nicht Apple in Schutz nehmen sondern die Software-Entwickler im Allgemeinen, das sind schließlich auch nur Menschen die Fehler machen können. Jedes aktuelle System, ob nun macOs, Linux oder Windows ist mittlerweile so komplex und unüberschaubar, dass es praktisch nicht möglich ist es 100%ig fehlerfrei zu machen. In der Regel handelt es sich nur um kleinere Bugs, die nach Bekanntwerden im Rahmen von Versions- oder Security-Updates stillschweigend ausgebügelt werden. Das "Beben" in der Apple-Welt in dem Fall kommt daher, weil die möglichen Auswirkungen des Bugs doch erheblich sind. Aber nachvollziehbar ist es schon, dass der Bug beim testen durchgerutscht ist. Der Tester wusste schließlich, dass root standardmäßig deaktiviert ist und ist daher einfach nicht auf den Gedanken gekommen zu überprüfen, ob er sich - gewollt oder ungewollt - ohne Passwart aktivieren lässt. Shit happens, kann man da nur sagen. Immerhin hat Apple nach Bekanntwerden schnell reagiert.

MACaerer