Apple veröffentlicht Sicherheitsupdate zur Behebung eines Anmeldefehlers im macOS High Sierra Betriebssystem

Apple aktualisiert Macs automatisch, um die ‘root’-Anfälligkeit zu beheben

Apple hat am Mittwoch einen Notfall-Patch veröffentlicht, der einen peinlichen Anmeldefehler in seinem macOS 10.13.1 High Sierra Betriebssystem behoben hat.

Die Anfälligkeit wurde am Dienstag von einem Benutzer auf Twitter offengelegt. Der Fehler ermöglichte es einem Benutzer, ohne das Passwort des Besitzers Administratorzugriff auf den PC zu erhalten, indem er einfach ‘root’ als Benutzernamen verwendete und zweimal auf die Entsperren-Schaltfläche klickte, um Zugang zu erhalten.

Die schwerwiegende Anfälligkeit wurde als CVE-2017-13872 identifiziert, die von Apple am Mittwoch durch das Sicherheitsupdate 2017-001 für macOS 10.13.1 behoben wurde. Während das Sicherheitsupdate jetzt im Mac App Store zum Download verfügbar ist, sagte Apple, dass der Patch auch automatisch auf allen Macs installiert wird, die macOS High Sierra 10.13.1 ausführen. Wenn Ihr Gerät jedoch die 10.13.2 Beta ausführt, müssen Sie wahrscheinlich bis zur Veröffentlichung des nächsten Builds warten.

Hier ist das Änderungsprotokoll:

Verfügbar für: macOS High Sierra 10.13.1

Nicht betroffen: macOS Sierra 10.12.6 und früher

Auswirkungen: Ein Angreifer könnte in der Lage sein, die Administratorauthentifizierung zu umgehen, ohne das Passwort des Administrators anzugeben

Beschreibung: Ein Logikfehler bestand in der Validierung von Anmeldeinformationen. Dies wurde durch verbesserte Validierung von Anmeldeinformationen behoben.

CVE-2017-13872

Die Build-Nummer für macOS sollte nach der Installation des neuen Updates 17B1002 betragen, die von 17B48 geändert wurde. Es ist kein Neustart erforderlich.

In einer Erklärung gegenüber MacRumors hat sich Apple für die Anfälligkeit entschuldigt:

„Sicherheit hat für jedes Apple-Produkt oberste Priorität, und bedauerlicherweise haben wir bei dieser Veröffentlichung von macOS einen Fehler gemacht.

„Als unsere Sicherheitsingenieure am Dienstagnachmittag von dem Problem erfuhren, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, um 8 Uhr, ist das Update zum Download verfügbar, und ab heute Nachmittag wird es automatisch auf allen Systemen installiert, die die neueste Version (10.13.1) von macOS High Sierra ausführen.

„Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Nutzern, sowohl für die Veröffentlichung mit dieser Anfälligkeit als auch für die Besorgnis, die sie verursacht hat. Unsere Kunden verdienen Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu helfen, dies in Zukunft zu verhindern.“

Quelle: Neowin