macOS 11.2.1 dürfte zeitnah erscheinen
Sicherheitslücke gestattet lokalen Nutzern unter macOS Root-Zugriff
Mit dem Update auf macOS Big Sur 11.2 hat Apple zwar einige Sicherheitslücken gestopft, darunter auch solche, die bereits aktiv ausgenutzt werden, doch dürfte in Kürze eine weitere Aktualisierung in diesem Bereich folgen. Ein Bereits seit Ende Januar bekanntes, schwerwiegendes Problem mit Betriebssystemen bei Unix-Basis besteht auch mit der neuen macOS-Version 11.2 noch.
Sicherheitsforscher haben bestätigt, dass sich die Schwachstelle mit der Kennung CVE-2021-3156 auch unter macOS ausnutzen lässt, und zwar unabhängig davon, ob es sich um einen Rechner mit Intel- oder Apple-Prozessor handelt.
Can confirm with macOS Big Sur on both x86_64 and aarch64. pic.twitter.com/nQqQ8rskv7
— Will Dormann (@wdormann) February 2, 2021
Mac-Nutzer ohne erweiterte Rechte können sich die sogenannte „Sudo-Schwachstelle“ zunutze machen, um uneingeschränkten „Root-Zugriff“ auf den Computer zu erlangen. Gefährdet sind in der Folge insbesondere Computer, die öffentlich oder für bestimmte Nutzergruppen konfiguriert eigentlich nur mit beschränkten Zugriffsrechten ausgestattet sein sollten.
Sudo ist ein Terminal-Befehl, mit dessen Hilfe ein Nutzer beispielsweise Anwendungen mit erweiterten Rechten ausführen kann. Die unter er aktuellen macOS-Version vorhandene Sicherheitslücke erlaubt es, die dafür erforderliche Passwortabfrage auszuhebeln.
Es gibt keine absolute Sicherheit, außer komplett Offline. Windows z.B. hat mehrfach Probleme und das war schon immer so und bleibt wohl auch so. Demzufolge ist Apple, immer noch die bessere Wahl!
Der Bug, um den es hier geht, existiert vor allem offline. Also nichts mit absoluter Sicherheit
Jaaaa, aber dafür müsste er ja dann in die Wohnung einbrechen, oder wo die Kiste auch steht. (Öffentliche
Geräte mal ausgeschlossen)
Was für Geschwurbel.
So ganz stimmt eure Risiko Einschätzung nicht.
Die Erweiterung auf Root Rechte geht nur für Nutzer, die zwar die die Erlaubnis haben Befehle im Namen anderer Nutzer auszuführen aber nicht im Namen von Root.
Da die Standard Gast-Accounts und eingeschränkten Accounts ohnehin nur im eigenen Namen agieren dürfen, lässt sich auch der sudo bug nicht ausnutzen.
Wer erinnert sich noch an „2x leere Passwort Eingabe“ und zack, Root Rechte? Das waren noch Zeiten haha
:D.
„Ein Bereits seit Ende Januar bekanntes, schwerwiegendes Problem mit Betriebssystemen bei Unix-Basis besteht auch mit der neuen macOS-Version 11.2 noch.“
Bereits seit Ende Januar, also vor vier Tagen? Wahnsinn, wie lange das her ist.
Funktioniert übrigens mit normalen Standardaccounts OHNE Adminrechte nicht.
Keine Ahnung oder woher nimmst du deine fehlerhaften Informationen?
https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-3156
Der Eintrag wurde 2021-01-15 erstellt und für die meisten Linux Systeme stehen Patches bereit. Müßte genauer schauen, welche Distributionen überhaupt noch ohne Patch sind.
Und wer schafft es nicht, den Patch mit 11.2 auszuliefern nach drei Release Candidates?
Wenn das also „nur“ auf Benutzer mit administrativen Rechten zutrifft, dann würde ich sagen ist die Schwachstelle halb so wild, denn damit kann man leben, dass sozusagen nur ein Admin nochmals erweiterte Rechte bekommt., der ohnehin schon Admin ist.
„Es gibt..“
Na ein Glück das das noch keiner wusste..
Und macht das es jetzt für Apple besser das andere Betriebssysteme auch Fehler haben..
Es gibt übrigens auch Betriebssysteme die weniger haben.. mal ein Blick zu BSD.