Bereits Ende November musste Apple eine gravierende Sicherheitslücke im Zusammenhang mit dem Passwort­schutz in macOS High Sierra abdichten. Nun folgt ein ähnliches Problem.

 
macOS High Sierra 10.13
Facts 
Software-Reihe:MacOS
Version:10.13
Sprachen:Deutsch, Englisch, Französisch
Release:25.09.2017
Lizenz:Vollversion
Plattformen:Mac OS X
Mehr zu macOS High Sierra 10.13:News, Tipps, Galerie

Systemeinstellungen des Mac App Store ohne Passwort änderbar

Das neue Problem ähnelt dem Fehler, welchen Apple Ende November ausbessern musste, bei dem der Zugriff durch den root-Nutzer ohne ein Passwort möglich war. Der aktuelle Fehler wurde von MacRumors bei Open Radar gefunden und betrifft die Systemeinstellungen des Mac App Store in macOS High Sierra. Wir konnten das Problem mit der aktuellen Version 10.13.2 (Build 17C205) nachvollziehen.

Bilderstrecke starten(14 Bilder)
macOS: Diese praktischen Finder-Tipps erleichtern eure Arbeit

Um den Fehler reproduzieren zu können, muss der Nutzer als lokaler Admin angemeldet sein. Danach öffnet man Systemeinstellungen > App Store. Ist die Schaltfläche bereits entsperrt, klickt man unten auf das Schloss, um sie wieder zu sperren.

Nun kann nach erneutem Klick auf das Schloss die Entsperrung vorgenommen werden und genau hier fällt die neue Sicherheitslücke auf. Es kann nun jede erdenkliche Zeichenfolge als Passwort genutzt werden, um die Einstellungen für den Mac App Store zu entsperren und zu ändern.

Der neue Fehler ist nicht auf einen bestimmten Mac eingeschränkt und tritt daher auch auf dem iMac auf:

27 Zoll iMac (2017) mit 5K-Display im Test Abonniere uns
auf YouTube

Beta von macOS High Sierra 10.13.3 ist bereits abgesichert

Wie die Voraussetzungen bereits zeigen, man muss beispielsweise als lokaler Admin angemeldet sein, um die Lücke ausnutzen zu können, ist der neue Fehler im Gegensatz zum November-Bug nicht so weitreichend. Außerdem betrifft der Fehler nach aktuellem Wissensstand lediglich die Einstellungen zum App Store und nicht andere Systemeinstellungen, die über denselben Trick ausgehebelt werden können.

Des Weiteren wurde der Fehler bereits in der aktuellen Beta von macOS High Sierra 10.13.3 behoben und dürfte damit in den kommenden Wochen der Vergangenheit angehören. Es ist jedoch denkbar, dass Apple nach der Veröffentlichung dieser Lücke noch ein weiteres kleines Update gegen dieses Problem einschiebt.

20 Funktionen, die ihr in macOS High Sierra kennen müsst:

Die neue Sicherheitslücke tritt dennoch in die Fußstapfen diverser anderer Sicherheitsprobleme, mit denen Apple seit der Vorstellung von macOS High Sierra zu kämpfen hatte. Neben dem root-Problem im November gab es etwa bereits im September, nur kurz nach der Vorstellung von High Sierra, eine Sicherheitslücke die den Passwort-Klau ermöglichte.

Quelle: Open Radar via MacRumors