ifun.de — Apple News seit 2001. 23 823 Artikel
Erster Kontakt am 23. November

Entdecker der „root“-Lücke: „Apple wurde vor einer Woche informiert“

Artikel auf Google Plus teilen.
19 Kommentare 19

Gerade haben wir noch gedacht, dass wir zur inzwischen ausgebesserten „root“-Lücke in macOS High Sierra eigentlich alles geschrieben haben, was geschrieben werden musste – doch auf die Wortmeldung von Lemi Orhan Ergin wollen wir jetzt doch noch mal eingehen.

Lemi Tweet

Der türkische Software-Entwickler brachte das Thema mit seinem Tweet vom 28. November ins Rollen und Apples Ingenieure zum Rotieren. Am Mittwoch-Abend twitterte Ergin an das Konto des Apple Supports:

Lieber @AppleSupport, wir haben ein *MASSIVES* Sicherheitsproblem in macOS High Sierra ausgemacht. Jeder Nutzer kann sich mit einem leeren Passwort als „root“ anmelden, wenn er den Login-Button mehrfach betätigt. Habt ihr bereits Kenntnis darüber @Apple?

Was daraufhin folgte habt ihr in den vergangenen 48 Stunden mitbekommen. Kurz nach dem das Netz den initialen Schock verdaut hatte meldete sich Apple zu Wort und versprach den gravierenden Bug zu beheben. Wenig später stellte Cupertino dann ein Sicherheits-Update bereit und entschuldigte sich. Zwar sorgte das Update seinerseits für kleinere Probleme, behob aber den kritischen Bug und wurde von Apple automatisch auf verwundbare Rechner aufgespielt.

Wie gesagt, eigentlich wäre die Geschichte damit abgeschlossen. Ist sie aber nicht. Wie Ergin zwischenzeitlich in diesem Blog-Eintrag versichert, haben seine Mitarbeiter bereits am 23. November den Kontakt zu Apple gesucht. Reagiert hätte Cupertino allerdings erst auf Ergins Tweet, den dieser am Dienstag als Nachfrage absendete.

Mitarbeiter unserer Infrastruktur-Teams sind vor rund einer Woche über den Fehler gestolpert, als diese versucht haben, einem meiner Kollegen dabei zu helfen wieder auf sein Admin-Konto zuzugreifen. Unser Personal bemerkte den Fehler und nutzte diesen aus, um das Konto des Kollegen wiederherzustellen. Unsere Mitarbeiter informierten Apple am 23. November über den Bug. […]

Abgesehen von den Meldungen in Apples EntwicklerForum – ifun.de berichtete – die darauf schließen lassen, dass der Bug seit mindestens zwei Wochen im Netz kursierte, wurde Apple also schon vor einer Woche auf den Fehler hingewiesen.

Dieser wird auf der Webseite objective-see.com derzeit übrigens detailliert beschrieben. Sollten euch die Hintergründe der root-Lücke interessieren, dann bitte hier entlang.

Zum Nachlesen:

Donnerstag, 30. Nov 2017, 15:26 Uhr — Nicolas
19 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Wieso hat er es nicht über den Bug Report gemeldet? Hätten ihm dann nicht mehrere hunderttausend $ gewunken?

    • Tja, die Frage ist doch, wo er das gemeldet hat. Bei der Supportline? Die können häufiger mal eher wenig und wissen bestimmt nicht, wohin sie sowas eskalieren müssen, dass die Gefahr schnell erkannt und gebannt wird.

    • Nicht bei Apple. Er ist vermutlich keiner der „auserwählten Bugreporter“ die am Bug-Bounty Programm Teilnehmen können.

  • Ignorant, arrogant. Apple halt. Think different.

  • Was man so liest, scheint durch das fehlerbehebende Update wieder ein neuer Bug aufzutreten: Es lässt sich in den Systemeinstellungen unter Benutzer & Gruppen kein neues Administrator-Konto anlegen. Jedes Mal erscheint nach dem Anlegen eine Fehlermeldung.

    Habe es bei mir testweise versucht und es geht tatsächlich nicht…absoluter Fail!

  • Ich sag es mal so, Apple hat was die Software-Schiene angeht, bei mir leider es komplett versemmelt.

    Mit schnellgeschossenen Updates bin ich umso vorsichtiger, denn die bringen nicht selten noch andere Fehler.

    Ein Hotfix-Update muss schon überdacht und solide sein.

    • Microsoft liegt ja auch schon länger auf die Versenmelliste rum. Solange wie das noch nicht so häufig ist wie die win 10 pannen ist mir das noch relativ. Preissegment ist durch das Surface ja gleich.

      • Welche win10 Pannen meinst du? Ich nutze zuhause als Zweitrechner auch einen Win10 PC, genau wie bei der Arbeit. Bisher absolut stabil und zuverlässig gelaufen.

    • Also bei so einem gravierenden Problem sind Seiteneffekte mit weitaus geringerer Kritikalität besser, als den Bugfix erst noch in allen Facetten zu testen.

      • Kritikalität bezeichnet in der Kerntechnik sowohl die Neutronenbilanz einer kerntechnischen Anlage als auch den kritischen Zustand eines Kernreaktors oder einer Spaltstoffanordnung

  • Das zeigt deutlich wie Apple versagt hat.

  • Habe seit dem Sicherheitsupdate einen Gastaccount, der beim Hochfahren angezeigt wird (Liste aller Benutzer beim Login-Screen). Der eigentliche Gastaccount ist deaktiviert, das Profilbild des „Geists“ ist eine Mischung aus dem dafür vorgesehen Bild und einigen hässlichen bunten Streifen. Kommt das jemandem bekannt vor?

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 23823 Artikel in den vergangenen 6112 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2018 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven