ifun.de — Apple News seit 2001. 39 303 Artikel

Erster Kontakt am 23. November

Entdecker der „root“-Lücke: „Apple wurde vor einer Woche informiert“

Artikel auf Mastodon teilen.
19 Kommentare 19

Gerade haben wir noch gedacht, dass wir zur inzwischen ausgebesserten „root“-Lücke in macOS High Sierra eigentlich alles geschrieben haben, was geschrieben werden musste – doch auf die Wortmeldung von Lemi Orhan Ergin wollen wir jetzt doch noch mal eingehen.

Lemi Tweet

Der türkische Software-Entwickler brachte das Thema mit seinem Tweet vom 28. November ins Rollen und Apples Ingenieure zum Rotieren. Am Mittwoch-Abend twitterte Ergin an das Konto des Apple Supports:

Lieber @AppleSupport, wir haben ein *MASSIVES* Sicherheitsproblem in macOS High Sierra ausgemacht. Jeder Nutzer kann sich mit einem leeren Passwort als „root“ anmelden, wenn er den Login-Button mehrfach betätigt. Habt ihr bereits Kenntnis darüber @Apple?

Was daraufhin folgte habt ihr in den vergangenen 48 Stunden mitbekommen. Kurz nach dem das Netz den initialen Schock verdaut hatte meldete sich Apple zu Wort und versprach den gravierenden Bug zu beheben. Wenig später stellte Cupertino dann ein Sicherheits-Update bereit und entschuldigte sich. Zwar sorgte das Update seinerseits für kleinere Probleme, behob aber den kritischen Bug und wurde von Apple automatisch auf verwundbare Rechner aufgespielt.

Wie gesagt, eigentlich wäre die Geschichte damit abgeschlossen. Ist sie aber nicht. Wie Ergin zwischenzeitlich in diesem Blog-Eintrag versichert, haben seine Mitarbeiter bereits am 23. November den Kontakt zu Apple gesucht. Reagiert hätte Cupertino allerdings erst auf Ergins Tweet, den dieser am Dienstag als Nachfrage absendete.

Mitarbeiter unserer Infrastruktur-Teams sind vor rund einer Woche über den Fehler gestolpert, als diese versucht haben, einem meiner Kollegen dabei zu helfen wieder auf sein Admin-Konto zuzugreifen. Unser Personal bemerkte den Fehler und nutzte diesen aus, um das Konto des Kollegen wiederherzustellen. Unsere Mitarbeiter informierten Apple am 23. November über den Bug. […]

Abgesehen von den Meldungen in Apples EntwicklerForum – ifun.de berichtete – die darauf schließen lassen, dass der Bug seit mindestens zwei Wochen im Netz kursierte, wurde Apple also schon vor einer Woche auf den Fehler hingewiesen.

Dieser wird auf der Webseite objective-see.com derzeit übrigens detailliert beschrieben. Sollten euch die Hintergründe der root-Lücke interessieren, dann bitte hier entlang.

Zum Nachlesen:

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
30. Nov 2017 um 15:26 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    19 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • Wieso hat er es nicht über den Bug Report gemeldet? Hätten ihm dann nicht mehrere hunderttausend $ gewunken?

  • Was man so liest, scheint durch das fehlerbehebende Update wieder ein neuer Bug aufzutreten: Es lässt sich in den Systemeinstellungen unter Benutzer & Gruppen kein neues Administrator-Konto anlegen. Jedes Mal erscheint nach dem Anlegen eine Fehlermeldung.

    Habe es bei mir testweise versucht und es geht tatsächlich nicht…absoluter Fail!

  • Ich sag es mal so, Apple hat was die Software-Schiene angeht, bei mir leider es komplett versemmelt.

    Mit schnellgeschossenen Updates bin ich umso vorsichtiger, denn die bringen nicht selten noch andere Fehler.

    Ein Hotfix-Update muss schon überdacht und solide sein.

    • Microsoft liegt ja auch schon länger auf die Versenmelliste rum. Solange wie das noch nicht so häufig ist wie die win 10 pannen ist mir das noch relativ. Preissegment ist durch das Surface ja gleich.

      • Welche win10 Pannen meinst du? Ich nutze zuhause als Zweitrechner auch einen Win10 PC, genau wie bei der Arbeit. Bisher absolut stabil und zuverlässig gelaufen.

    • Also bei so einem gravierenden Problem sind Seiteneffekte mit weitaus geringerer Kritikalität besser, als den Bugfix erst noch in allen Facetten zu testen.

      • Kritikalität bezeichnet in der Kerntechnik sowohl die Neutronenbilanz einer kerntechnischen Anlage als auch den kritischen Zustand eines Kernreaktors oder einer Spaltstoffanordnung

  • Habe seit dem Sicherheitsupdate einen Gastaccount, der beim Hochfahren angezeigt wird (Liste aller Benutzer beim Login-Screen). Der eigentliche Gastaccount ist deaktiviert, das Profilbild des „Geists“ ist eine Mischung aus dem dafür vorgesehen Bild und einigen hässlichen bunten Streifen. Kommt das jemandem bekannt vor?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 39303 Artikel in den vergangenen 8434 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven