kollektiv geballte Faust
Apples „root“-Lücke: Bekannt seit mindestens zwei Wochen
Wenn in den vergangenen Wochen die nachlassende Software-Qualität Apples zur Sprache kam, dann ging es fast immer um kleinere Interface-Macken. Im App Store auf dem iPhone X zum Beispiel, fangen die Download- bzw. Öffnen-Button hin und wieder damit an sich zu drehen. Einfach so.
Nochmal: Eine der wichtigsten Werks-Anwendungen auf Apples teuerstem iPhone ist auch nach nunmehr sechs iOS-Aktualisierungen nicht in der Lage seine Download-Button ohne grafische Aussetzer zu präsentieren.
Aussetzer, die bislang häufig mit einem Schulterzucken quittiert wurden. Da Apple mit HomePod, iMessage in der Cloud, dem anstehenden iMac Pro und dem versprochenen Mac Pro schon genug um die Ohren zu haben schien, waren Nutzer gewillt kleinere Software-Patzer in Kauf zu nehmen.
Eine ausgestreckte Hand, aus der jedoch spätestens gestern Abend eine kollektiv geballte Faust geworden ist. Apples „root“-Lücke – ifun.de berichtete – gehört zu den größten Schwachstellen des Mac-Betriebssystems seit Jahren und hat bei viele Anwendern das Fass zum Überlaufen gebracht.
Der Tenor: Apple muss die jährlichen Software-Updates, deren Freigabetermine von Hardware-Veröffentlichungen und nicht von bestandenen Qualitätsprüfungen diktiert werden, überdenken.
Bug tauchte als Tipp im Apple-Forum auf
Zudem sollten Cupertinos Entwickler das hauseigene Developer-Forum im Blick behalten. Hier wurde die „root“-Lücke bereits vor über zwei Wochen beschrieben und als „Tipp“ in einer Diskussion über die Account-Verwaltung in High Sierra geteilt:
[…] This solution might be specific to High Sierra […] On startup, click on „Other“. Enter username: root and leave the password empty. Press enter. (Try twice) If you’re able to log in (hurray, you’re the admin now), then head over to System Preferences>Users & Groups and create a new Admin account. […]
Apple gibt knappe Stellungnahme
Während die Mac-Admins heute (überall auf der Welt) damit beschäftigt sein dürften, die Auswirkungen der massiven Sicherheitslücke einzudämmen, lässt Apples Software-Patch noch auf sich warten. Dafür hat sich der Konzern inzwischen immerhin zu einer kurzen Stellungnahme durchgerungen. Gegenüber mehreren US-Medienvertretern erklärt ein Apple-Sprecher:
„We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here„
Jetzt wid‘s ja noch peinlicher!
Schade das Apple iOS 11.2 nicht als iOS 11 veröffentlicht hat. Gerne kann das nächste Betriebssystem im Funktionsumfang kleiner ausfallen. Aber sowas ist selbst für mich als Apple Liebhaber langsam unerträglich.
Aber wenn man nur auf Gewinnmaximierung aus ist, passiert sowas halt.
iOS ist im Vergleich zu macOS super maintained.
Bitte waS ist das ???????
Na an solchen Kommentaren merkt man das Useralter hier :-)
Also ich bin 47 und habe es verstanden. Wenn man das Wort maintained nicht kennt, frag ich mich was man im Englisch-Unterricht gemacht hat. Am Handy rumgespielt wahrscheinlich.
Trotzdem bin ich kein Fan von diesen übertriebenen Anglizismen.
Was im Englischkurs gemacht wurde? Englisch gesprochen und nicht Wortfindungsstörungen mit Denglisch überspielt.
Peinsam.
Mindestens genau so peinlich finde ich, dass ein solcher Bug den Beta-Testern nicht aufgefallen ist! Vielleicht wäre es auch mal sinnvoll das Konzept der öffentlichen Betas zu überdenken, das ja wahrscheinlich zum großen Teil dafür missbraucht wird um mit der aktuellsten OS Version zu protzen… Schuldfrage hin oder her, sowas darf in einer Final nicht passieren!
Grundsätzlich gebe ich dir recht, aber auch eine Final wird nie fehlerfrei sein. Jedes weitere Update wird Fehler und Sicherheitslücken schließen. So schlimm finde ich den Fehler auch nicht, da er lediglich den Gastzugang betrifft. Da gab es bei Windows in den letzten Jahren deutlich größere Sicherheitslücken. Und dieses System wird produktiv in unzähligen Unternehmen eingesetzt. (Und hier sprechen wir nicht mal vom aktuellen Softwarestand, sondern von veralteten Systemversion die teilweise nicht mehr unterstützt werden.) Das wiederum heißt im Umkehrschluss, neue und aktuelle Windows Software enthält ebenfalls vielleicht noch nicht mal ansatzweise bekannt sind. Hiervon bleibt weder Microsoft noch Apple verschont.
Woher weißt Du, dass das keinem Beta-Tester aufgefallen ist? Ich wäre mit der Aussage vorsichtig.
Aus eigener Erfahrung weiß ich, dass Beta-Tester viele Dinge melden, nach umfangreichen Logfiles und Diagnose-Files gefragt werden, diese mit viel Aufwand nachreichen (nachdem man ggf. sogar seltenere Fehler noch mal nachgestellt hat) … und dann bekommst Du mit, wie die Software mit diesen Fehlern released wird.
Das blöde an diesem Vorgehen: Als Beta-Tester sinkt die Motivation. Ich persönlich mache z.B. keinen Beta-Test mehr mit. Ich kann die Zeit auch sinnvoller verwenden ;)
Stimmt. Ich habe selbst unzählige Bugs gemeldet und es ist nicht eine einzige bearbeitet. Irgendwann unterlässt man weitere Bugs zu melden. Ich „teste“ auch nicht mehr Betas.
Ich versuche seit 2 Monaten einen Bug von High Sierra an Apple zu melden. Die Feedbackfunktion bricht immer nach 10 Minuten mit einem Timeout-Error ab.
Naja, das ist doch aber logisch? Es kommt darauf an, wie viele Menschen die Fehler haben. Es wird eine Liste mit den häufigsten und schwerwiegendsten Fehlen adressiert. (Normalerweise ;) )
Danach werden Fehler, die im Release nicht so schlimm sind, adressiert. Aber bei Apple scheint da grad einiges durchzurutschen.
Da gebe ich dir recht, das kann ich natürlich nicht ausschließen. Und selbst wenn dieser Bug im Rahmen des Alpha- oder Bata-Teststadiums kommuniziert wurde, untermauert es doch meine Aussage dass das Gesamtkonzept auf diese Art ein Release zu testen nicht sinnvoll ist… gerade weil man wichtige von weniger wichtigen Lücken nicht ausreichend differenzieren kann, und viele Hinweise erst gar nicht bearbeitet werden weil sie vielleicht „statistisch nicht signifikant“ erscheinen… Ich habe auch einen Beta-Test mitgemacht, da viel Arbeit und Zeit investiert, und mich dann davon doch distanziert, da ich meine sowas sollte im Aufgabenbereich derer liegen, die dafür bezahlt werden…
lol dein Kommentar ist genau so peinlich wie Apple zur Zeit
Aha, was ist denn daran peinlich? Dein Beitrag ist leider total inhaltsfrei was für dich zu sprechen scheint ;-)
a) Beta-Tester haben keine Verantwortung über die Softwarequalität von Apple.
b) Ich habe schon einige Beta-Phasen unter iOS und macOS mitgemacht, regelmäßig die Bugs gemeldet, aber selbst die in meinen Augen kritischen benötigen teilweise drei Beta Versionen (was bei Apple manchmal sechs Wochen dauern kann) oder werden eventuell erst im übernächsten Public-Release adressiert.
c) Tim & Co. sind nur die Shareholder wichtig. Die Keynotes werden immer peinlicher, der Phil redet nur noch über die Kamera des iPhone und selbst die bekommt ständig nur Beta-Versionen von Funktionen. Der App Store ist einfach unübersichtlich. Aber bevor ich weiter abdrifte: Ich bekomme immer mehr die Unzufriedenheit von Apple-Usern als „Admin“ verschiedener Unternehmen, aber auch von Privatpersonen mit und muss immer mehr Funktionen erklären und zeigen. Aber bei Apple geht es ja bergauf, weil die Aktie immer weiter steigt. Das ist natürlich der einzig gute Indikator, ob ein Unternehmen gut funktioniert.
Vollste Zustimmung ! Wir nehmen als Firma am Apple-Seed Programm teil, dort gibt es sogar Prüfpläne von Apple, die man als Unternehmens-IT abarbeiten kann, z.B. die Verbindung zwischen Exchange Servern und den auf iOS implementierten Apps. Alles sehr gut und hilfreich. Man kann also nicht sagen, dass Apple hier nichts tut.
Nur leider werden sehr häufig gemeldete große Probleme als nichtig abgetan, oder aber mit anderen Bugs zusammengelegt und man hört nie wieder was davon.
Einmal habe ich einen Bug gemeldet und die Rückmeldung war:“ Bug wurde geschlossen, da diese Funktion noch nie implementiert war“.
Dabei hatten wir besagtes Feature mehrere Jahre genutzt und es war auch von Apple in der KB beschrieben.
Das zeigt mit Verlaub dass du keinen Schimmer hast.
Jeder normalsterbliche Developer weiß, dass es praktisch unmöglich ist Apple ein Feedback zukommen zu lassen.
Viele der iOS 11 Bugs wurden während der Betas schon gemeldet.
Apple hat einfach kein vernünftiges Feedback System.
Sogar Apple Genius Bar Mitarbeiter haben keine Möglichkeit Apple etwas zu melden.
Absoluter Saftladen.
Apfelsaft!
Stimme euch zu.
Nach welcher Logik eine Einstellung der Public Betas die Testabdeckung und Produktqualität erhöhen soll, erschliesst sich mir gerade irgendwie nicht.
Von „Einstellung der Public Betas“ habe ich nie geredet, lediglich angemerkt das das Konzept nicht zielführend ist, wenn solch gravierende Bugs unentdeckt belieben. Bitte nicht die Aussage von Kommentaren verdrehen um mal auf die schnelle einen schlauen Kommentar abgeben zu können, diese Logik erschliesst sich mir nämlich ebenso wenig!
Das hat nichts mit verdrehen zu tun. Solche Bugs sind im Pentest zu finden und nicht zufällig über eine öffentliche Beta.
Die public betas sind genau dass, wie Apple es beschreibt: Es ermöglicht Nutzen pre-release-software auszuprobieren mit Feedbackmöglichkeit.
Wenn Apple hier wirklich was tun will, sollen sie das bug bounty für alle zugänglich machen, aktuell fehlt hier der Anreiz für ITsec-Kollegen.
Sowas hatten sie doch auch bei ios und iCloud so viel mir ist
Tja, ich hab daraus gelernt!
Wenn mich kein Neukauf von Hardware zur neuesten Software bei Apple zwingt, bleib ich immer bei der letzten Vorjahresversion!
Meine iPhones und iPads laufen wunderbar mit iOS 10.3.3! Ab 11.3.1 denke ich frühestens über ein Update nach!
Bei mir ist’s umgekehrt: die aktuelle Software von Apple verleitet mich dazu künftig keine Hardware mehr zu kaufen ;-)
Apple ist beschäftig mit der Abschaffung von Anschlüssen und Preiserhöhungen. Was sollen die denn noch machen? Software vor Veröffentlichung prüfen? Oder vielleicht sogar auch noch Hardware? Völlig unberechtigte Kritik!
@michael: Das ist soooo unfair von dir! Schließlich hat die sympatische keine Aktiengesellschaft aus Cupertino in iOS fast alle ICONS noch (!) schöner gemacht und uns allen diese tollen neuen EMOJIS geschenkt – z.B. das Kotz-Smiley, das gerade jetzt fast täglich im Apple-Kontext so dringend benötigt wird…
Danke Apple – I love youuuu uhhhh uhhhhhh
Was Softwarequalität angeht ist bei denen der Wurm drin. Seit iOS 11.0 z.B. gibt es so viele Interface-Bugs die immer noch nicht gefixt wurden. Regelmäpig und reproduzierbar hängen im Lock Screen bei mir immer Notifcations übereinander oder haben mehrere cm Abstand zueinander. Hauptsächlich, wenn das Player-Widget parallel aktiv ist. Das ist langsam einfach nervig. Bei einem Billiggerät würde es mich vermutlich nicht so stören, aber wohl bei einer Firma die vieles, z.B. auch das Pricing, mit der hohen Qualität begründet.
Den Bug gab es aber mir iOS 10 schon
Aso, na dann stört es wohl auch niemanden wenn er in iOS 12 mit rüber genommen wird?
So lange bis es ein Feature wird.
Tim Cook hat doch mit der Apple Watch gezeigt wohin der Weg mit ihm führen wird. Apple Watch soll ein Mode Accessoire sein. Was kam seitdem? Apple Pencil Case, Apple Watch Armbänder, Lederhülle für iPad (zum reinschieben), MacBook 12“ Lederhülle und iPhone X Leder Folio. Ansonsten? Wegfall von vielen Anschlüssen am MacBook Pro, iPhone ohne Kopfhöreranschluss aber Preise gehen hoch und nur Lösungen mit Adaptern. Ein Ladekabel für Alles? Nö! USB auf Magnetisches Kabel (Apple Watch), USB auf Lightning (iPhone & iPad), USB-C auf USB-C (MacBook). Wenn die schon die MacBooks umstellen seit 2 Jahren, dann könnten sie es wenigstens beim iPhone tun statt separates USB-C auf Lightning zu kaufen. Was hat Tim Cook Apple an Mehrwert gebracht? iMessage Sticker (der Store wird nicht gepflegt)? Apple Watch Store (nie eine Änderung dort zu sehen und Entwickler wollen es nicht), Animoji (für Kinder)? Toy Story und Micky Mouse Watchfaces? Seit es Public Betas gibt kommen Finale Versionen nur noch ziemlich verbugt. Produkte werden gezeigt die IRGENDWANN mal kommen (iMac Pro, HomePod, AirPower, Ladecase für AirPods). Apple Karten seit Start sind die veraltet und öfters gemeldet mit Screenshoot, HomeKit macht kein Fortschritt. Das ist nicht Apple wie es kenne seit dem iPhone 3G und der Führung von Steve Jobs.
Oh, glatt vergessen. Die Wochen gratis App ist raus, 12 Geschenke App ist raus, iTunes Festival gibt es auch nicht mehr.
Zustimmung, bis auf die Sache mit den Apple Maps. Die sind inzwischen sehr gut und sehr aktuell, in meiner Gegend deutlich aktueller als Google Maps und beherrschen nun auch Features wie Spurassistent oder Blitz-Warner als Navi-Lösung…
Aber nur, solange du dich nicht in Neubaugebieten rumtreibst. Hamburg-Hafencity ist ein gutes Beispiel dafür, wie schnell man sich verloren vorkommen kann. :(
Gut? Ich habe eine Fimra in D gesucht, die Google direkt vorschlägt. Apple will mich in die Schweiz schicken…
Und so lange man sie nicht zu Fuß benutzt (was viele in Amerika nicht zu wissen scheinen: In Europe ist das skandalöser Weise noch immer erlaubt!):
In der Altstadt meines Wohnortes fehlt ein dutzend wichtiger Fußgängerverbindungen (ja, es gibt hier Wege, wo man nich mit dem Auto fahren kann – very shocking!) und ein überregional bedeutsames Baudenkmal liegt „unerreichbar“ auf einer großen grünen Fläche, weil alle Fußwege fehlen – auch der vom Parkplatz zum Eingang…
Sehr schöne Zusammenfassung vom momentanen Zustand aktueller Apple Produkte! Ich hoffe noch, dass sich das Chaos nach vollzogenen Umzug in die neue Zentrale mal wieder lichten wird…
Einfach mal 1000 Ingenieure einstellen, mich stören 500mio weniger Gewinn pro Quartal nicht.
Aber aufgepasst: https://en.wikipedia.org/wiki/The_Mythical_Man-Month
Software-Entwicklung passiert immer in kleine Teams … da helfen keine 1000 oder 10000 Leute mehr … aber es gibt offensichtlich ein haarsträubendes Apple-Problem beim Qualitätsmanagement und der Code-Review …
Einfach mal ein RICHTIGES bug bounty program aufziehen würde sicher helfen sowas zu vermeiden, anstatt hier pseudomäßig mit „ausgewählten Researchern“ zusammenzuarbeiten.
bin ich mit little snitch sicher ? danke
Nein
Little snitch hilft dir da sehr wenig
Nein! Ändere Dein root-Passwort und gut ists!
Nein bist du nicht, allerdings würde Little Snitch eine versuchte Remote Anfrage abfangen und dich fragen ob die Verbindung ok geht. Was jetzt spannend ist:
Ganze IP Blöcke abfragen und nach dem Bildschirmfreigabe-Port scannen. Sobald irgendwer diesen Port frei hat kann man getrost per root verbinden und wenn man Glück hat hat die Person fleißig die Apple Updates installiert. Danke Apple.
Du vergisst das fehlende DNAT… du scannst also trocken nach VNC Ports auf vorgeschalteten Routern… wir haben hier ja hier normalerweise ja keine DMZ/Exposed Hist Situationen… Security through Obscurity …
Ja du bist absolut sicher
Magische Button, die sich drehen? Ein Fall für Akte X
Nun, das Geschrei ist groß und wird Apple sicher zeitnah in Bewegung setzen. Den AppStore Bug mit drehenden Buttons habe ich bei mir trotz häufiger Nutzung des Stores noch nie gesehen.
Um diese Lücke auszunutzen wird der direkte Zugriff auf das System im entsperrten Zustand benötigt. Das ganze ist damit bei weitem nicht so kritisch, wie einer der unzähligen Bugs, die mit jedem OS Update gefixt werden. Allein deshalb verstehe ich die Panik hier nicht. Im übrigen konnte ich den Fehler auf meinen bieden Macs nicht reproduzieren, da passen die Einstellungen bereits.
geht auch im login-fenster.
Ja blöd.
Nein, geht nicht im Login-Fenster. Ich hab es ausprobiert. Und mindestens 100 Mal mit root und leerem Passwort versucht. Nix, nada. Dagegen funktioniert es in der Tat wenn man in die Einstellungen geht und dann geschuetzte Einstellungen aendern will und dazu entsperren muss.
@McHep und ich halte dagegen, habe es heute in der Firma mit mehreren Mac probiert. FileVault2 aktiv, User ausgeloggt und bei aktivem VNC auch von einem Windows PC aus probiert und erfolgreich einloggen können. SSH klappt auch. Diese Funktionen müssen aber in den Systemeinstellungen aktiv sein und die Geräte müssen im selben Netzwerk sein. (Außerhalb konnte ich nicht testen)
Moment. Irre ich mich gerade oder ist der Root User standardmäßig gar nicht aktiv?
Den musste man doch explizit aktivieren! Und wenn dem so ist, dann frage ich mich wer den Root User aktiviert ohne ein Passwort zu setzen?
Der besondere Reiz der hier berichtet Lücke liegt gerade darin, dass root dafür nicht aktiviert werden muss.
Verständnis für Fehler weil sie zuviel parallel entwickeln? Das ist ja wohl lachhaft!! Das mit Abstand wertvollste Unternehmen der Welt schafft es also nicht an 4 Produkten gleichzeitig zu arbeiten?
Was glaubt ihr eigentlich wieviel Produkte (Software und Hardware) bei Firmen wie Schneider Electric, Siemens und GE parallel entwickelt und gepflegt werden?
Und weil deren Bugs in den Medien nicht so gehypt werden, arbeiten die dann besser?
Verstehe ich es richtig, dass diese Lücke nicht genutzt werden kann, wenn mein Mac im Ruhemodus befindet ?
Es funktioniert nur, wenn ich den Mac zunächst eimal starte und entsperre.
Erst dann könnte jemand über Systemeinstellungen, Benutzer & Gruppen auf das Schloss, unten links im Fenster klicken und sich mit dem Benutzernamen „Root“ Admin Zugang zu meinem Mac verschaffen ?
Korrekt ??
In dem Fall hätte ich keine großen Befürchtungen, weil das Risiko für mich persönlich, in diesem Fall zu vernachlässigen ist. Schön ist diese Lücke trotzdem nicht.
Schlimmer wäre, wenn der Mac gestohlen wird und mit dieser Lücke gestartet und neu aufgesetzt werden könnte.
Sowas gab es bei Apple schon früher. Schon damals galt, besser den root user aktivieren und selber ein Passwort vergeben. Der inaktive root user wird ev. doch ungewollt aktiv.
Aber das ist wohl kein Bug sondern Maschinen Intelligenz! Ausgeklügelte Algorithmen ermitteln aufgrund der Eingabe von root im Benutzername das der Anwender wohl den root user aktivieren möchte und das System erledigt das für uns. Tja schon blöd das Apple glaubt das sein Programme intelligenter sind als die Nutzer.
Dazu noch 2 Fragen, ich hoffe es kann mir jemand eine Antwort geben:
Ich habe den Root-User auf meinem MacBook nicht aktiviert, besteht trotzdem Gefahr eines ungewollten Zugriffs oder ist es in dem Fall kein Problem?
Lässt sich der Root-User auch für Angriffe über ein Netzwerk verwenden oder nur lokal?
Die 2 Fragen haben sich erledigt, Sicherheitsupdate ist raus!