Apple-Patches - Wichtige macOS-Sicherheitsprobleme Überprüfen Sie Ihre Updates jetzt
Ein türkischer Sicherheitsforscher hat einen großen Fehler in macOS High Sierra entdeckt. Der Fehler ermöglicht es einem Angreifer, ohne Kennwort Zugang zu einer Maschine zu erhalten, und auf mächtige Administratorrechte zugreifen. Apple hat einen Patch zur Behebung der Sicherheitsanfälligkeit für fast alle macOS High Sierra-Systeme herausgegeben.
Nicht gepatchte Systeme bleiben jedoch unsicher.
Was ist der Fehler??
Der Fehler wurde vom türkischen Entwickler Lemi Orhan Ergan entdeckt. Jeder hat die Möglichkeit, durch einfaches Tippen vollständige Administratorrechte für einen macOS High Sierra-Computer zu erlangen “Wurzel” als Benutzername im Authentifizierungsdialogfeld. Lassen Sie dann das Kennwortfeld leer und klicken Sie auf die Schaltfläche “Freischalten” Durch zweimaliges Drücken der Taste wird der vollständige Administratorzugriff gewährt.
Sie können über Systemeinstellungen> Benutzer und Gruppen> auf das Schloss zugreifen, um Änderungen vorzunehmen. Dann benutze "root" ohne Passwort. Und versuche es mehrmals. Ergebnis ist unglaublich! pic.twitter.com/m11qrEvECs
- Lemi Orhan Ergin (@lemiorhan) 28. November 2017
Wenn Sie Ihren Mac unbeaufsichtigt gelassen haben, könnte vor dem Patch jemand leicht Zugriff auf Ihren Computer erlangen. Beispielsweise können sie Malware installieren. 5 einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren. 5 einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren. Sie können denken, dass es ziemlich schwierig ist, Ihren Mac mit Malware zu infizieren. Es gibt jedoch immer Ausnahmen. Hier sind fünf Möglichkeiten, wie Sie Ihren Computer schmutzig machen können. Weitere Informationen zum Erfassen von Passwörtern 5 einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren 5 einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren Sie denken vielleicht, dass es ziemlich schwierig ist, Ihren Mac mit Malware zu infizieren, aber es gibt immer Ausnahmen. Hier sind fünf Möglichkeiten, wie Sie Ihren Computer schmutzig machen können. Weitere Informationen über den Zugriff auf den Schlüsselbund Wenn Sie den iCloud-Schlüsselbund verwenden, um Kennwörter auf Mac und iOS zu synchronisieren? Solltest du iCloud Keychain verwenden, um Passwörter auf Mac und iOS zu synchronisieren? Wenn Sie in erster Linie Apple-Produkte verwenden, nutzen Sie den firmeneigenen Passwortmanager vollständig kostenlos. Lesen Sie mehr, löschen oder ruinieren Sie Ihre Apple-ID und vieles mehr.
Aber Apple hat das Problem behoben, richtig?
Als ich diesen Artikel verfasste, veröffentlichte Apple das Sicherheitsupdate, um das Problem zu beheben. Die Apple-Erklärung zum Inhalt der Sicherheitsinhalte sagt “Bei der Validierung von Berechtigungsnachweisen ist ein Logikfehler aufgetreten. Dies wurde mit einer verbesserten Überprüfung der Berechtigungsnachweise behoben.”
Das Update ist bereits im Mac App Store verfügbar. Außerdem wird das Update ab Mittwoch, dem 29., automatisch auf Macs mit High Sierra 10.13.1 angewendetth November. Apple hat die Situation mit der folgenden Aussage erweitert:
“Sicherheit hat für jedes Apple-Produkt oberste Priorität. Leider sind wir mit dieser Version von macOS gestolpert.
“Als unsere Sicherheitsingenieure am Dienstag Nachmittag auf das Problem aufmerksam wurden, begannen wir sofort mit der Bearbeitung eines Updates, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, steht das Update zum Download zur Verfügung und ab heute wird es automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra ausgeführt wird.
“Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Benutzern, sowohl für die Freigabe dieser Sicherheitsanfälligkeit als auch für die Besorgnis, die sie verursacht hat. Unsere Kunden verdienen Besseres. Wir prüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies erneut geschieht.”
Aber sie wussten bereits darüber?
Unglücklicherweise für Apple war dieses Problem bereits aufgetaucht - erhielt jedoch keine Maßnahmen. Ein Mitglied des Support-Forums von Apple hat vor mehr als zwei Wochen genaue Details zu dem Fehler veröffentlicht. Der ursprüngliche Beitrag und die Antworten scheinen den Hauptfehler als eine potenzielle Fehlerbehebungsfunktion und nicht als kritische Sicherheitsbedrohung zu betrachten.
Was mache ich jetzt?
Nun, das erste, was Sie tun müssen, ist das Systemupdate zu suchen. Apple sollte das automatische Patch-Update irgendwann in den letzten 24 Stunden einführen. Wenn das automatische Update nicht angezeigt wird, sollten Sie zum Mac App Store gehen und dort nach dem Update suchen. Alternativ klicken Sie auf diesen Link.
Sobald das Update heruntergeladen wurde, installieren Sie es sofort.
Es funktioniert nicht
Wenn das Update aus irgendeinem Grund nicht installiert werden kann, schalten Sie zuerst Ihr System aus und wieder ein und versuchen Sie es dann erneut. Apple hat den Prozess automatisiert.
Führen Sie andernfalls folgende Schritte aus, um Ihr System zwischenzeitlich zu sichern:
- Öffnen Sie Spotlight und suchen Sie nach Verzeichnisdienstprogramm, Wählen Sie die entsprechende Option
- Klicken Sie auf das Schloss, um Änderungen vorzunehmen. Geben Sie Ihren Benutzernamen und Ihr Kennwort für das Administratorkonto ein
- Geh zu Menü> Bearbeiten
- Wählen Root-Benutzer aktivieren; Erstelle ein Passwort und vergewissere dich
Dies ist jedoch eine Stop-Lücke. Bitte versuchen Sie das offizielle Update zu installieren.
Augen auf die Quelle
Als Apple den Fehler behebt, wenden sich die Augen auf Lemi Orhan Ergan. Das selbstbeschriebene “Software-Handwerker” wird kritisiert, weil er sich nicht an die Richtlinien zur Offenlegung verantwortlicher Informationen hält Full oder Responsible Disclosure: Offenlegung von Sicherheitslücken Vollständige oder Responsible Disclosure: Offenlegung von Sicherheitslücken Sicherheitslücken in gängigen Softwarepaketen werden ständig entdeckt, aber wie werden sie an Entwickler gemeldet? und wie erfahren Hacker über Schwachstellen, die sie ausnutzen können? Weiterlesen . Die verantwortliche Offenlegung fordert Sicherheitsforscher auf, Unternehmen über Sicherheitsbedrohungen zu informieren, um Zeit für die Behebung des Fehlers zu haben. Nachdem der Fehler behoben wurde, kann der Forscher seine Ergebnisse der Öffentlichkeit vorstellen.
DAS IST KEINE VERANTWORTUNG DER OFFENBARUNG. Dies ist äußerst unverantwortlich, insbesondere für eine Sicherheitsanfälligkeit dieser Größenordnung. Apple verfügt über ein hervorragendes Offenlegungssystem und sein Team ist außergewöhnlich ansprechend. Bitte machen Sie solche Dinge nicht. https://t.co/E6iOX5A43C
- Johnny Xmas (@ J0hnnyXm4s) 28. November 2017
Natürlich funktioniert dieses System nicht immer wie beabsichtigt. Unternehmen reagieren nicht und Sicherheitsforscher werden ungeduldig. In diesen Fällen erzwingt das Erstellen eines öffentlichen Problems die Hand des Unternehmens und zwingt sie, die Sicherheitsbedrohung zu beheben.
Nachdem Ergan eine beträchtliche Menge an Kritik erhalten hatte, veröffentlichte er eine Gegenleistung auf Medium. Er erklärt das er “ist weder ein Hacker noch ein Sicherheitsspezialist,” auch weiterhin “Ich konzentriere mich nur auf sichere Kodierungspraktiken während der Programmierung, aber ich kann mich niemals als Sicherheitsspezialisten bezeichnen.”
Sehr geehrter @AppleSupport, bei MacOS High Sierra ist ein * HUGE * -Sicherheitsproblem aufgetreten. Nach mehrmaligem Klicken auf den Login-Button kann sich jeder mit leerem Passwort als "root" anmelden. Kennen Sie es @Apple??
- Lemi Orhan Ergin (@lemiorhan) 28. November 2017
Fairerweise wurde der Fehler im Apple Support Forum diskutiert. Darüber hinaus behauptet Ergan, seine Kollegen vom Zahlungsdienstleister Iyzico hätten die Bedrohung für Apple am 23rd November - erhielt jedoch keine Antwort.
Augen auf den Ball
Von der Quelle bis zur Firma. Hat Apple diesen durch das Netz gleiten lassen? Mit einem Wort: Ja, vor allem, wenn sie den Fehler erkannt haben, wie Ergan behauptet. Leider kennen wir die Wahrheit nicht und können daher keine fundierte Einschätzung der Situation vornehmen.
Selbst nach dem zweiten erzwungenen Update in einem Jahr (immer noch das zweite erzwungene Sicherheitsupdate aller Zeiten) sollte sich Apple keine Sorgen machen. Instanzen von macOS und iOS-Malware steigen an Apple-Malware-Malware nimmt zu - hier gibt es Ausschau zu halten, die 2016 von Apple angesteuert werden soll - Hier ist, worauf zu achten ist - Apple-Hardware ist 2016 kein sicherer Hafen mehr vor Hackern, Malware und Ransomware und andere Cyber-Bedrohungen. Das erste Halbjahr 2016 beweist, dass Ihre Geräte ohne die richtigen Vorsichtsmaßnahmen zu Risiken werden können… Lesen Sie mehr, aber Windows und Android bleiben die wichtigsten Ziele Was ist das sicherste mobile Betriebssystem? Was ist das sicherste mobile Betriebssystem? Um den Titel des sichersten mobilen Betriebssystems kämpfen, haben wir: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem kann sich gegen Online-Angriffe am besten behaupten? Weiterlesen . Darüber hinaus verfügt Apple größtenteils über einen hervorragenden Sicherheitsrekord. Der ultimative Sicherheitsleitfaden für Mac: 20 Möglichkeiten, sich selbst zu schützen Der ultimative Sicherheitsleitfaden für Mac: 20 Möglichkeiten, sich selbst zu schützen Seien Sie kein Opfer! Sichern Sie sich Ihren Mac noch heute mit unserem umfassenden Sicherheitsleitfaden für High Sierra. Lesen Sie mehr, wie durch ihre schnelle und effektive Aktualisierung gezeigt wird, um die aufkeimende Bedrohung zu bekämpfen.
Wurden Sie von den Sicherheitslücken von Apple betroffen? Oder ist das Update so schnell angekommen, dass Sie keine Sorgen mehr haben? Lassen Sie uns unten Ihre Gedanken wissen!
Erfahren Sie mehr über: Computersicherheit, macOS High Sierra.