Sicherheits-Update 2017-001
„root“-Lücke in macOS: Apple stopft Sicherheitslücke und entschuldigt sich
Apple hat sich beeilt. Mit dem Sicherheits-Update 2017-001 wird die gestern bekannt gewordene Mega-Schwachstelle im aktuellen Mac-Betriebssystem macOS High Sierra 10.13 gestopft.
Das Update steht für alle Nutzer von macOS High Sierra im Mac App Store bereit. Apple empfiehlt ausdrücklich die Installation, ein Ratschlag, dem wir uns gerne anschließen. Ihr könnt den Rechner während der Aktualisierung problemlos weiter benutzen, es ist kein Neustart erforderlich.
Wir sind ja gestern und heute mehrfach auf Apples wohl gravierendsten Software-Fehler der letzten Jahre eingegangen. Der Sachverhalt war insbesondere für öffentlich zugängliche und von mehreren Nutzern genutzten Apple-Rechner ein Problem. Jeder Nutzer konnte vollen Administrator-Zugriff erlangen und in der Folge wenn er es darauf anlegte ein System auch komplett übernehmen.
Offizielles Apple-Statement
Inzwischen liegt uns auch ein offizielles Statement zu der Angelegenheit von Apple vor. Ein Unternehmenssprecher entschuldigt sich für den Fehler. Apple-Kunden hätten Besseres verdient:
Sicherheit hat für jedes Apple Produkt höchste Priorität, und leider haben wir dies bei dieser Version von macOS nicht komplett erfüllt.
Als unsere Sicherheitsingenieure am Dienstagnachmittag [US-Westküstenzeit] auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, [17.00 Uhr MEZ] steht das Update zum Download bereit, und wird im weiteren Verlauf des Tages auch automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft.
Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies in Zukunft nochmals geschieht.
Super, und was mache ich, wenn ich die Public Beta (10.13.2 Beta (17C79a)) installiert habe?
Da wird es mir nicht angeboten.
Nur 10.13.2 Public Beta 5 wird mir angeboten – mit Neustart
Da ist es nicht schlimm, weil Du sicher nicht so saublöd bist, eine Beta auf einem Produktivsystem mit sensiblen Daten einzusetzen
Kleiner Hinweis für die sauschlauen: Apple unterscheidet zwischen einem Beta Programm für die Developer und einem Public Beta Programm für den normalen Anwender, der bereit ist seine Erfahrungen mit Apple zu Pre-Released zu teilen.
Bei Letzterem weiß Apple sehr wohl, dass die Macs auch tatsächlich genutzt werden, sonst hätte man ja auch als Apple nichts davon. Nur beim Programm für die Developer gibt es den klaren Hinweis darauf, dass man keine Produktivsysteme ausstatten sollte
Installiere Beta-Software nicht in einer kommerziellen Umgebung oder auf Systemen mit wichtigen Informationen. Wir empfehlen, die Software auf einem Zweitsystem oder -gerät bzw. auf einer weiteren Partition deines Mac zu installieren.
Quelle Apples Public Beta FAQ
https://beta.apple.com/sp/de/betaprogram/faq?locale=de
Bin auch erst darüber gestolpert, aber Apple gibt es eigentlich bereits selber an: „[…] the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra. […]“ => Nur für 10.13.1 (momentan)
In deinem Kommentar steht steht Beta das sagt alles…
Ich hoffe das du kein Gerät nutzt wo private und sensible Daten drauf sind…
Da kommt sowieso bald eine neue Beta mit dem Patch – vermutlich sehr zeitnah. Aber wie schon jemand so treffend geschrieben hat: „Unter Steve hätte es das alles nicht gegeben“. :-) So, so…
Eben.
Immer wieder schön dass sich die Leute die eine Beta nutzen, weil’s scheinbar cool oder Hip ist, sich der Risiken oder Folgen nicht bewusst sind und sich dann über solche Sachen beschweren.
Er hat doch nur gefragt ob es das für die Beta auch gibt da er es nicht finden kann. Warum müssen Beta-User immer gleich zusammengefaltet werden. Da war keine Beschwerde, kein Vorwurf. Nur eine sachliche Frage die ja(!) auch ein Beta-User stellen darf.
Wichtig ist dir offensichtlich ohne Sinn und Verstand rumzunölen. Betas sind für Produktivsysteme bekanntermaßen ungeeignet und daher:
Heul leise!
Sooooorry Chris, mein Post ist in den falschen Zweig gerutscht – sollte natürlich an dschloss3 gehen
Die final Releases sind doch kein Stück besser als ne Beta. Bugs ohne Ende, auch massive Sicherheitslücken, wie man sieht. Man fragt sich, wozu es die Masse an Betas für jedes .1 Release überhaupt gibt.
Wichtig ist dir offensichtlich ohne Sinn und Verstand rumzunölen. Betas sind für Produktivsysteme bekanntermaßen ungeeignet und daher:
Heul leise!
Setze ein PASSWORT für root
Ja das ist halt Apple so wie die Sonne aufgeht geht sie bei Apple immer wieder unter und kommt wahrscheinlich bald nie wieder hoch. wann entwickelt sich Apple eigentlich weiter?
Solange die Zahlen bei stimmen und die Fanatiker weiter alle Preise zahlen, wird sich da nicht viel ändern! Wozu auch? Läuft doch ;).
Ich mag Apple Geräte sehr, allerdings betrachte ich einiges mit etwas anderen Augen, als die Rosabrillen Träger. So auch den etwas überspitzten Preis, des iPhone X. Wenn der mal unter 1000€ fallen sollte, wäre ich bereit mir so ein Gerät zuzulegen. Alles über 1000€ für ein Smartphone ist leicht übertrieben.
Allerdings gibt es entweder wahnsinnige oder Reiche, die sich das leisten möchten bzw. können. Solange es diese Leute gibt, wird es immer gut gehen. Allein die Preise bei eBay, da fasse ich mir an den Kopf!!! Manche geben für ein Gerät, das 1319€ kostet, das doppelte und sogar das dreifache aus. Kranke Fanatiker oder halt Reiche.
Der Neid wieder :D
Falls ich es bisher überlesen habe so sei es jetzt erwähnt – unter Steve hätte es das alles nicht gegeben…
Unter Steve gab es sowas auch. Ich behaupte sogar, dass mit C-Fed ein deutlich motivierterer Kopf hinter dem Software-Team steht.
Sowas schreiben ja vermutlich nur 14jährige, die vor ein paar Jahren ihr erstes iPhone im Buddelkasten verloren haben… alle anderen sollten klug genug sein es besser zu wissen.
Ich musst ja zunächst schmunzeln, weil ich es nicht ganz so ernst genommen hab und bin jetzt ziemlich verunsichert
Immerhin hat Apple sehr schnell reagiert. Ich hoffe mal, dass sich so ein Fehler nicht wiederholen wird.
Sehr schnell? Wie lange war das Leck bekannt? Apple hat erst nach Druck der Öffentlichkeit reagiert.
Ja genau – bei Apple haben sie alle erst mal die Eier geschaukelt … du hast doch null Ahnung von den internen Prozessen die sowas ins rollen bringt …
Was ist eigentlich mit der Situation, dass der Entsperrcode eines iOS Geräts genügt, um einen neuen Finger für TouchID anzulernen, bzw. das Gesicht bei FaceID zu ersetzen und dann damit jede App zu entsperren, die das als Authentifizierung nutzt?
Mit den Sperrcode kommst du doch sonst auch so gut wie an alles ran. Wer den bei 4 Ziffern belässt, ist selber schuld.
Nicht wirklich. Für meine Banking App brauche ich ein Passwort ODER TouchID/FaceID.
Für den AppStore genauso, etc.
Es gibt nur ganz wenige Firmen (!!!) die in der allgemeine so einen Fix innerhalb eines Tages bereitzustellen und dabei sicherzustellen, dass er auf allen Rechnern läuft. Hut ab!
Das man sich trotzdem für einen solchen Patzer (fast schon Mutwilligkeit, sowas passiert einem nict einfah so) schämen muss, ist klar!
Du weisst schon dass die Lücke seit zwei Wochen bekannt war? Erst nach dem öffentlichen Druck hat Apple so „schnell“ reagiert.
Du glaubst also, der Fehler war Apple seit 2 Wochen bekannt und dann dachten sie: achje ein kleiner Fehler, da mach mer erstmal nichts warum auch, wenn des rauskommt den shitstorm nehm mer doch mal mit.
Des is doch Quatsch
In einem Apple Forum hatte ein unbedarfter User (der wusste gar nicht, wie kritisch das war) einem anderen mit diesem Tipp geholfen – danach passierte 2 Wochen nichts (keine Antworten, keine Diskussion). Apple hat laut eigener Aussage erst am Dienstag von dem Problem erfahren, vermutlich aus ersten Berichten und Hinweisen.
Schaut selbst: https://forums.developer.apple.com/thread/79235#277225
Vielleicht sollte Apple sich mal von den abermilliarden einen Mitarbeiter leisten, der die Support Foren liest. Da sind so viele Bugs und fragen drin, und Apple kümmert sich nen Scheiss.
Super jetzt geht SMB share nicht mehr unter 2 macs im Netzwerk. User und PW wird nicht mehr angenommen
Jetzt veröffentlicht Apple direkt am nächsten Tag ein Sicherheitsupdate, gibt dazu noch ein Statement ab und die Leute hier haben immer noch was zu meckern…mannomann. Wechselt doch einfach zu Windows…LOL.
Meinst du es interessiert irgendein Schwein, wer heutzutage macOS oder Windows benutzt. Such dir ein neues Feindbild, du bist ja in den 80ern stehengeblieben.
Menschenkenntnis? Hellseherei? Oder woher kennst du mich denn so gut? Ja, über meine Vokuhila lass ich nix kommen. Wenn du von „Feindbild“ schreibst, solltest du mal dein „Gedankengut“ überdenken. Gröhl!
Blöd nur, dass „am nächsten Tag“ hier ganze zwei Wochen waren.
Ja, am nächsten Tag nach Veröffentlichung…na und? Hauptsache es ist gefixed. Es wird ein Aufstand gemacht…nicht weil es ein schwerwiegender Fehler war, sondern weil es APPLE passiert ist.
Blöd nur, dass ein Eintrag im Developer Forum keine Bug-Report ist…
Schon faszinierend, wenn bei Apple was in die Hose geht schreit die ganze Welt auf, wenn das bei Windows passiert dann ist das „na ja is halt so“. Da meckert keiner groß rum, oder wie war das damals? win10 (fragt mich bitte nicht mehr welche genau) aber da gab es den Admin ok, aber von dem „Hauptadmin“ wer hat von diesem Benutzerkonto überhaupt mal gehört? Benutzername – Passwort Leer, so kam ich damals rein und es war wohl auch ein Root Zugang. Ich brauchte das damals um mein Win10 von 130GB auf 70GB runter zu bekommen. Nur WIN /Office ohne direkte Dateien. aber darüber verliert keiner auch nur ein Wort. Selbst wenn es schon 1 / 2 Wochen bekannt war, was ist mit WIN? Die ersten Sicherheitsupdates von win10 kamen da war es 10ner noch nicht mal fertig installiert… Jammern auf extrem hohem Niveau. Der Fehler war da, ja, ist korrigiert worden. Das das eine oder andere jetzt nicht mehr so funktioniert ( Wie SMB Share bei Thomas) damit kann doch kurz leben, des wird bestimmt bald behoben. Bei mir lief nach dem Update der Schlüsselbund komplett nicht mehr, nach einem Neustart gehts wieder.
Apple interessieren schwerwiegende Bugs nur, wenn sie öffentlich werden und dem guten Ruf schaden können. Wenn man als User Fehler an Apple meldet tut sich teilweise monatelang nichts und die Sicherheitslöcher werden auch nicht gestopft. Apple ist zwar gut, aber könnte hierbei wesentlich verantwortungsbewusster sein.
So ist es!
Da haben wohl zuviel iPhone x Nutzer böse in ihre FaceId Kamera geschaut als sie das gelesen haben, da wurde dann doch mal lieber schnell reagiert ;-)
Hahaha.. dachte ja BASF nützt die Faceerkennung um Medikamente zu empfehlen… Eisenarmut etc. Aber auch cool, wie Happy ist mein Volk Sensor.
Nein, das wurde NICHT GESTERN bekannt sondern vor ZWEI WOCHEN. Die große öffentliche Welle ging zwar erst Gestern/Vorgestern los aber es stand vor zwei Wochen im Apple-Forum (der Beitrag ist wohl inzwischen nicht mehr aufrufbar? Unklar ob der Autor oder Apple das gelöscht hat)
Das Sicherheitsupdate hat sich zweimal installiert: gestern und heute. Gabs ein Update vom Update?
Ich nenne ein MacBook Air 2011 mein Eigen und habe High Sierra installiert (Beta). Ein Update ist nirgends aufgetaucht und der Bug ist immer noch vorhanden!