Erster Kontakt am 23. November
Entdecker der „root“-Lücke: „Apple wurde vor einer Woche informiert“
Gerade haben wir noch gedacht, dass wir zur inzwischen ausgebesserten „root“-Lücke in macOS High Sierra eigentlich alles geschrieben haben, was geschrieben werden musste – doch auf die Wortmeldung von Lemi Orhan Ergin wollen wir jetzt doch noch mal eingehen.
Der türkische Software-Entwickler brachte das Thema mit seinem Tweet vom 28. November ins Rollen und Apples Ingenieure zum Rotieren. Am Mittwoch-Abend twitterte Ergin an das Konto des Apple Supports:
Lieber @AppleSupport, wir haben ein *MASSIVES* Sicherheitsproblem in macOS High Sierra ausgemacht. Jeder Nutzer kann sich mit einem leeren Passwort als „root“ anmelden, wenn er den Login-Button mehrfach betätigt. Habt ihr bereits Kenntnis darüber @Apple?
Was daraufhin folgte habt ihr in den vergangenen 48 Stunden mitbekommen. Kurz nach dem das Netz den initialen Schock verdaut hatte meldete sich Apple zu Wort und versprach den gravierenden Bug zu beheben. Wenig später stellte Cupertino dann ein Sicherheits-Update bereit und entschuldigte sich. Zwar sorgte das Update seinerseits für kleinere Probleme, behob aber den kritischen Bug und wurde von Apple automatisch auf verwundbare Rechner aufgespielt.
Wie gesagt, eigentlich wäre die Geschichte damit abgeschlossen. Ist sie aber nicht. Wie Ergin zwischenzeitlich in diesem Blog-Eintrag versichert, haben seine Mitarbeiter bereits am 23. November den Kontakt zu Apple gesucht. Reagiert hätte Cupertino allerdings erst auf Ergins Tweet, den dieser am Dienstag als Nachfrage absendete.
Mitarbeiter unserer Infrastruktur-Teams sind vor rund einer Woche über den Fehler gestolpert, als diese versucht haben, einem meiner Kollegen dabei zu helfen wieder auf sein Admin-Konto zuzugreifen. Unser Personal bemerkte den Fehler und nutzte diesen aus, um das Konto des Kollegen wiederherzustellen. Unsere Mitarbeiter informierten Apple am 23. November über den Bug. […]
Abgesehen von den Meldungen in Apples EntwicklerForum – ifun.de berichtete – die darauf schließen lassen, dass der Bug seit mindestens zwei Wochen im Netz kursierte, wurde Apple also schon vor einer Woche auf den Fehler hingewiesen.
Dieser wird auf der Webseite objective-see.com derzeit übrigens detailliert beschrieben. Sollten euch die Hintergründe der root-Lücke interessieren, dann bitte hier entlang.
Zum Nachlesen:
- Sicherheits-GAU in macOS High Sierra: „root“-Login mit leerem Password möglich
- Apples „root“-Lücke: Bekannt seit mindestens zwei Wochen
- Apple stopft Sicherheitslücke und entschuldigt sich
- Sicherheits-Update installiert sich eigenständig
- Dateifreigabe-Probleme nach Sicherheitsupdate? Apple veröffentlicht Reparaturanleitung
Wieso hat er es nicht über den Bug Report gemeldet? Hätten ihm dann nicht mehrere hunderttausend $ gewunken?
Tja, die Frage ist doch, wo er das gemeldet hat. Bei der Supportline? Die können häufiger mal eher wenig und wissen bestimmt nicht, wohin sie sowas eskalieren müssen, dass die Gefahr schnell erkannt und gebannt wird.
Nicht bei Apple. Er ist vermutlich keiner der „auserwählten Bugreporter“ die am Bug-Bounty Programm Teilnehmen können.
Interessant zu wissen.
Ignorant, arrogant. Apple halt. Think different.
Was man so liest, scheint durch das fehlerbehebende Update wieder ein neuer Bug aufzutreten: Es lässt sich in den Systemeinstellungen unter Benutzer & Gruppen kein neues Administrator-Konto anlegen. Jedes Mal erscheint nach dem Anlegen eine Fehlermeldung.
Habe es bei mir testweise versucht und es geht tatsächlich nicht…absoluter Fail!
bei mir auch nicht …
Apple hat´s einfach drauf…
Diese Problem ist aber immernoch besser, als der root-Account ohne Passwort.
reboot immer gut :)
Ich sag es mal so, Apple hat was die Software-Schiene angeht, bei mir leider es komplett versemmelt.
Mit schnellgeschossenen Updates bin ich umso vorsichtiger, denn die bringen nicht selten noch andere Fehler.
Ein Hotfix-Update muss schon überdacht und solide sein.
Microsoft liegt ja auch schon länger auf die Versenmelliste rum. Solange wie das noch nicht so häufig ist wie die win 10 pannen ist mir das noch relativ. Preissegment ist durch das Surface ja gleich.
Welche win10 Pannen meinst du? Ich nutze zuhause als Zweitrechner auch einen Win10 PC, genau wie bei der Arbeit. Bisher absolut stabil und zuverlässig gelaufen.
Also bei so einem gravierenden Problem sind Seiteneffekte mit weitaus geringerer Kritikalität besser, als den Bugfix erst noch in allen Facetten zu testen.
Kritikalität bezeichnet in der Kerntechnik sowohl die Neutronenbilanz einer kerntechnischen Anlage als auch den kritischen Zustand eines Kernreaktors oder einer Spaltstoffanordnung
Das zeigt deutlich wie Apple versagt hat.
Habe seit dem Sicherheitsupdate einen Gastaccount, der beim Hochfahren angezeigt wird (Liste aller Benutzer beim Login-Screen). Der eigentliche Gastaccount ist deaktiviert, das Profilbild des „Geists“ ist eine Mischung aus dem dafür vorgesehen Bild und einigen hässlichen bunten Streifen. Kommt das jemandem bekannt vor?
Das hatte ich auch – aber seit dem Update auf High Sierra. Du kannst den Nutzer über‘s Terminal löschen. Für die Anleitung google mal nach „macOS Glitchy Guest Account“.
reboot immer gut :)