Klaffende Sicherheitslücke: macOS High Sierra lässt sich ohne Passwort entsperren

[ottomane]

Why <blank> Gets You Root

Das nenne ich mal eine Analyse. Besten Dank!

Man kann jetzt auch mal die Kirche im Dorf lassen.

Ich will da auch nicht weiter darauf herumhacken. Natürlich ist das aktuell einfach. Aber dank entsprechender Vorbelastung war ich bislang oft auf Seiten der Entwickler und habe auch schnell gesagt, dass Fehler halt passieren. Das ist so und das wird sich nie ändern.

Aber es haben sich tatsächlich fatale Fehler gehäuft. Und zwar sehr fundamentale Dinger. Und jedesmal sind sie relativ offensichtlich und sehr leicht im Testing auffindbar gewesen. Ja, das ist wirklich so.

Mir macht dabei eben Bauchschmerzen, dass nicht die Fehler einzelner das Problem sind, sondern vielmehr der Prozess insgesamt, der offensichtlich solche Fehler immer wieder durchgehen lässt. Hier hat Apple definitiv Hausaufgaben zu machen.

 

[u0679]

es praktisch nicht möglich ist es 100%ig fehlerfrei zu machen

schön wäre es aber, wenn der Entwicklungszyklus verlangsamt werden würde. Dann hat das Betriebssystem auf jeden Fall die Chance ausgereift zu sein. Aber durch den selbst auferlegten Druck jedes Jahr liefern zu müssen, muss zwingend die Qualität leiden.

 

[MichaNbg]

Eben.

Und zwischen "100% fehlerfrei" und dem, was Apple gerade mit macOS 10.13 und iOS 11 abgeliefert hat, bestehen ja auch nochmal mehrere tausend Grauzonen.

Mir fallen spontan ein:
- Keychain konnte auslgesen werden
- Passwörter für verschlüsselte Dateiträger konnten ausgelesen werden
- Login als root ohne Passwort (lokal und remote!)
...

Das sind schon sehr schwere Sicherheitsfehler, die eigentlich keine professionelle QS hätten überstehen dürfen.

 

[Fresh_Prince]

Eines ist doch auf jeden Fall klar. Solche Fehler dürfen nicht passieren. Passieren tun sie trotzdem. Es ist gut, dass das Ganze relativ schnell behoben wurde. Auf der einen Seite ist es gut es öffentlich gemacht zu haben, auf der anderen Seite bot das natürlich eine wunderbare Anleitung für kriminell interessierte. Auf einer noch anderen Seite frage ich mich jedoch, ob ohne die Veröffentlichung Apple Gestern auf den Fix veröffentlicht hätte oder es einfach still und heimlich mit 10.13.2 veröffentlicht hätte. Tja, das wird man wohl nicht herausfinden können.

Ich weis zwar nicht wie schnell sowas hingezaubert werden kann, ich bin keiner der programmieren kann, aber es ging ja doch ziemlich schnell. Pressemeldungen über Pressemeldungen und schwupps war am nächsten Tag der Fix da. Ob das in der Schublade lag? Oder schnell ausgegliedert werden kann aus einem schon zusammengeschnürrten Sicherheitspaket? Das würde mich mal interessieren.

Am Ende war es zusammengenommen trotzdem relativ schnell. Noch schneller wäre natürlich immer besser. Das ist klar.

 

[Sauron]

Das ist mir auch alles wieder zu übertrieben und schadenfroh von Vielen.

Nun, die Schlagzeilen, wenn gleiches bei Microsoft oder Google passiert wäre, sähen wohl kaum anders aus. Von daher ist es wohl eher kein besonderer Seitenhieb gegen Apple, sondern ein zum kapitalen Bock passender Hieb.

 

[Fresh_Prince]

Meine Aussage bezog sich eher darauf, dass sowas bei von dir genannten Parteien nach einem Tag schon wieder vergessen scheint. Für mich ist das Kindergarten. Egal von welcher Seite aus. Schlimm genug das solche Fehler, die nicht passieren dürfen, überhaupt passieren. Aber hey, es wird ja schon wegen Rucklern und anderen nichtigen Glitches ein Fass aufgemacht.

Und von mir aus kann Apple gerne Seitenhiebe bekommen. Sie sollten nur sachlich sein und nicht überdramatisiert werden mit haltlosen, unreflektierten und aus eigener Wahrnehmung zusammengeschusterten Vergleichen. Denn daran stacheln sich dann wieder alle gegenseitig auf ohne das es hätte sein müssen. Stammtischgepolter braucht man nicht wirklich.

 

[Sauron]

Also ein dermaßen offenes Scheunentor kann gar nicht genug dramatisiert werden. Was für gröbere Fehler kannst du dir denn vorstellen?

Man kann es mit der Inschutznahme von Apple auch übertreiben. Apple ist schon groß, die können sich selber wehren

 

[ottomane]

Ich weis zwar nicht wie schnell sowas hingezaubert werden kann, ich bin keiner der programmieren kann, aber es ging ja doch ziemlich schnell. Pressemeldungen über Pressemeldungen und schwupps war am nächsten Tag der Fix da. Ob das in der Schublade lag?

Die Änderung im Code ist klein. Aber selbst dann kann man so ein Ding nicht nach einem Tag auf Millionen von Macs loslassen und releasen. Auch dieser Patch musste unter verschiedensten Bedinungen getestet werden.

Ich hoffe, dass sie den Patch in der Schublade hatten und sich genügend Zeit zum Testen gelassen haben. Falls sie den gestern schnell entwickelt haben sollten, haben sie anscheinend Glück gehabt und ihnnen ist nichts um die Ohren geflogen. Unwahrscheinlich oder sehr mutig.

Ich vermute, dass er längst fertig war und sie ihn zurückhalten wollten bis zum nächsten regulären Update. Dass gestern Twitter und dann die Presse aufsprang, hat Apple unter Handlungsdruck gesetzt und sie haben ihn released.

Dies bedeutet aber auch eines: Apple kannte den Fehler und hatte den Patch, aber sie haben ihn zurückgehalten, um nicht zu viel Wind zu machen. Falls es so sein sollte, würde es bedeuten, dass Apple Marketing über die Sicherheit der Kunden stellt.


EDIT: Ich ändere meine Meinung. Apple hat heute einen Patch zum Patch gepusht und zeigt damit, dass der gestrige Patch tatsächlich ziemlich "spontan entwickelt" released wurde.

 

[MichaNbg]

Manchmal kommt es einem wirklich so vor, als wäre das hier kein IT-Forum sondern eine Justin Bieber Fanbase ...

Dass man sich (laut etlichen Meldungen auch remote!) ohne Passwort an einem Computer als Root einloggen konnte solle man mal nicht so überdramatisieren. Erm. Ja. Klar. Ist ja auch kein Problem.

Wie gesagt, man muss das vor dem Hintergrund sehen, dass Apple eigentlich versucht, bei Unternehmen einen breiten Fuß in die Tür zu kriegen. Die werden das nicht soooo entspannt sehen. Vor allem weil es eben nicht das erste "schlimme" Einfallstor bei High Sierra ist, das ja eigentlich Sierra aufpolieren und abschließen sollte.

 

[Chibi88]

Ist doch nur halb so wild, oder? Der Benutzer braucht ja einen Zugriff auf den Mac, der schon entsperrt ist, oder? Was ist, wenn das System verschlüsselt ist und der Computer nicht eingeschaltet ist?

 

[Marcel Bresink]

Der Benutzer braucht ja einen Zugriff auf den Mac, der schon entsperrt ist, oder?

Nein, es war möglich, den Rechner auch per Netzwerkzugriff komplett zu übernehmen, sofern der Mac einen öffentlichen Netzwerkdienst angeboten hat, bei dem man sich mit einem Benutzernamen identifzieren konnte.

 

[MACaerer]

st doch nur halb so wild, oder? Der Benutzer braucht ja einen Zugriff auf den Mac, der schon entsperrt ist, oder? Was ist, wenn das System verschlüsselt ist und der Computer nicht eingeschaltet ist?

Es ginge auch bei einem Remote-Zugriff, beispielsweise bei einer Fernwartung. Natürlich muss der Anwender den Zugriff erlauben. Der Remote-Zugriff wird häufig in Firmen angewandt, weil sich dann der Service-Mann nicht an den Rechner setzten muss. Klar ist in so einem Fall die Wahrscheinlichkeit nicht allzu groß, dass der Service-Techniker die Daten des Rechner-Anwender ausspioniert, aber ausschließen kann man es auch nicht. Abgesehen davon müsste ein Service-Techniker bei einem Fernzugriff sowieso Admin-Berechtigungen haben, wenn er beispielsweise eine neue Software oder Sotfware-Updates installieren will. Sei es drum, das Thema ist ja mit den schnell nachgereichten Sicherheits-Update weitestgehend abgehakt.

MACaerer

 

[giesbert]

Sei es drum, das Thema ist ja mit den schnell nachgereichten Sicherheits-Update weitestgehend abgehakt.

Das hoffe ich nicht. Sondern dass es da intern aber ganz gewaltig mit langfristigen Nachbeben rummst. Und dass dieser Super-GAU Konsequenzen (für den Entwicklungsprozess) hat.

 

[_UsE_]

Ich hab gestern ein kleines Update geladen und heute gleich nochmal eines, weiß jemand mehr dazu? Als Bezeichnung steht 2x "Sicherheitsupdate 2017 - 001" und der Text ist auch identisch?!

 

[ottomane]

Dieses Update hat einen Fehler des Updates von gestern behoben.

 

[AndrewBrew]

Ist dieser Weltuntergang mittlerweile gepatched?

 

[Joh1]

Ist dieser Weltuntergang mittlerweile gepatched?

Ja

 

[AndrewBrew]

@Joh1 Thnx.

 

[Mitglied 105235]

Ja

@Joh1 Thnx.

Dafür gibt es nun andere Probleme.

 

[Overchurch]

Wenn einige Sharing Services (zB. Screen-Sharing) aktiviert sind ist dann kommt der Angreifer auch remote auf Deinen Rechner - mit allen Root-User Rechten.

Genau! Wenn ich dem Angreifer meinen Mac in die Hand gebe und ihm mein Passwort sage, dann kommt er auch rein. Sogar ohne "root" ! Man kann es sich auch zusammenreimen...

Ich bleibe dabei:
Peinliche Geschichte, darf nicht passieren...ABER, für 99 % der Nutzer ohne Auswirkungen! Wenn ein fremder Angreifer meinen Mac in den Händen hält und sich über das "root-Loch" anmelden will, ist vorher schon so einiges schief gelaufen (das gilt für Zugriff über Remote auch!). Das ist kein "in Schutz nehmen" von Apple! Es geht lediglich um die Panikmache die in diesem Zusammenhang betrieben wurde! Wenn ich den Facebookbeitrag von MacLife sehe ("lasst alles sofort stehen und liegen, egal was ihr macht und kümmert euch um das root Passwort"), frage ich mich echt ob die da absichtlich Panik machen um Klicks zu erhalten.

Für Unternehmen sieht das anders aus, keine Frage! Aber wir sprechen hier und auf Facebook keine Unternehmen an! Die Unternehmen haben über ihre IT-Leute bereits am Problem gearbeitet, da war es hier noch gar nicht bekannt. Die lassen sich auch nicht durch Facebookpostings in Panik versetzen. "Normale" User aber schon! Jede Promi-Shopping-Queen hat mittlerweile einen Mac und wenn man denen sagt, sie MÜSSEN jetzt ein Root-Passwort festlegen, dann richtet man eben mehr Schaden an, als Apple mit dem Leck!

Zum Thema XP:
Da macht die PC Welt wieder eine Schlagzeile aus etwas, was keine Schlagzeile ist. Und dann bringen wir XP noch schnell mit Interkontinentalraketen in Verbindung, obwohl da nix in Verbindung zu bringen ist :rolleyes

Es ist nicht wirklich überraschend, dass in dem Flugzeugträger ein "altes" XP (in einer eigenen, nichtöffentlichen Version) genutzt wird. Wer sich etwas mit der Thematik auskennt, weiß dass das völlig normal ist (siehe Raumfahrt, Luftfahrt u.s.w.). Wer das jetzt auf sein Leben zu Hause übertragt, liegt halt daneben.