Apple Patches Major macOS Sicherheitsproblem: Überprüfen Sie Ihre Updates jetzt

Apple Patches Major macOS Sicherheitsproblem: Überprüfen Sie Ihre Updates jetzt

Ein türkischer Sicherheitsforscher hat einen großen Fehler in macOS High Sierra aufgedeckt. Der Fehler ermöglicht es einem Angreifer, ohne Passwort zu einer Maschine zu gelangen – sowie Zugriff auf leistungsfähige Administratorrechte. Apple hat einen Patch herausgegeben, um die Sicherheitslücke zu beheben, die fast alle macOS High Sierra Systeme betrifft.

Nicht gepatchte Systeme bleiben jedoch unsicher …

Was ist der Fehler?

Der Fehler wurde vom türkischen Entwickler Lemi Orhan Ergan geoutet. Es erlaubte jedem, volle administrative Rechte über eine macOS High Sierra Maschine zu erlangen, indem man einfach “ root ” als Benutzername im Authentifizierungsdialogfeld. Lassen Sie dann das Passwortfeld leer und klicken Sie auf „Freischalten ” Wenn Sie zweimal auf die Schaltfläche klicken, wird der vollständige administrative Zugriff gewährt.

Sie können darauf über die Systemeinstellungen > Benutzer & Gruppen > Klicken Sie auf die Sperre, um Änderungen vorzunehmen. Dann verwende „root“ ohne Passwort. Und versuchen Sie es mehrmals. Das Ergebnis ist unglaublich! pic.twitter.com/m11qrEvECs

— Lemi Orhan Ergin (@lemiorhan) November 28, 2017

Theoretisch könnte man vor dem Patch, wenn man seinen Mac unbeaufsichtigt lässt, leicht Zugang zu Ihrem Computer erhalten und ihn zerstören. Zum Beispiel könnten sie Malware installieren 5 Einfache Wege, um Ihren Mac mit Malware zu infizieren 5 Einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren Sie könnten denken, dass es ziemlich schwierig ist, Ihren Mac mit Malware zu infizieren, aber es gibt immer Ausnahmen. Hier sind fünf Möglichkeiten, wie Sie Ihren Computer schmutzig machen können. Mehr lesen, Passwörter erfassen 5 Einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren 5 Einfache Möglichkeiten, Ihren Mac mit Malware zu infizieren Sie könnten denken, dass es ziemlich schwierig ist, Ihren Mac mit Malware zu infizieren, aber es gibt immer Ausnahmen. Hier sind fünf Möglichkeiten, wie Sie Ihren Computer schmutzig machen können. Lesen Sie mehr unter Verwendung des Schlüsselbundzugriffs, wenn Sie iCloud Keychain verwenden, um Kennwörter auf Mac & iOS? Sollten Sie iCloud Keychain verwenden, um Passwörter auf Mac & iOS? Wenn Sie in erster Linie Apple-Produkte verwenden, sollten Sie den firmeneigenen Passwort-Manager komplett kostenlos nutzen. Lesen Sie weiter, löschen oder ruinieren Sie Ihre Apple ID und mehr.

Aber Apple hat das Problem behoben, oder?

Als ich diesen Artikel verfasste, veröffentlichte Apple das Sicherheitsupdate, um das Problem zu beheben. Die Apple-Sicherheitsinhaltsaktualisierungsanweisung besagt, dass bei der Überprüfung der Anmeldeinformationen ein logischer Fehler aufgetreten ist. Dies wurde mit einer verbesserten Berechtigungsnachweisüberprüfung behoben.

Das Update ist bereits im Mac App Store verfügbar. Außerdem wird das Update automatisch auf Macs angewendet, auf denen High Sierra 10.13.1 ab Mittwoch, dem 29. November läuft. Apple erweiterte die Situation mit der folgenden Aussage:

“ Sicherheit hat für jedes Apple-Produkt oberste Priorität, und leider stolperten wir mit dieser Version von macOS.

“ Als unsere Sicherheitsingenieure am Dienstag nachmittag auf das Problem aufmerksam wurden, begannen wir sofort an einem Update zu arbeiten, das die Sicherheitslücke schließt. Heute Morgen, ab 08:00 Uhr, steht das Update zum Download zur Verfügung und wird ab heute später automatisch auf allen Systemen installiert, auf denen die neuste Version (10.13.1) von macOS High Sierra läuft.

“ Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Nutzern, sowohl für die Veröffentlichung mit dieser Sicherheitsanfälligkeit als auch für die Sorge, die sie verursacht hat. Unsere Kunden verdienen Besseres. Wir auditieren unsere Entwicklungsprozesse, um zu verhindern, dass dies wieder passiert. &Rdquo;

Aber sie wussten es bereits?

Leider war dieses Problem für Apple bereits aufgetaucht — aber keine Aktion erhalten. Ein Mitglied des Support-Forums von Apple hat vor mehr als zwei Wochen genaue Details zum Fehler gepostet. Der ursprüngliche Beitrag und die Antworten scheinen den Hauptfehler als potenzielle Problembehandlungsfunktion zu betrachten und nicht als kritische Sicherheitsbedrohung.

„Der Sicherheitsfehler wurde ursprünglich als Lösung für ein Benutzer-Login-Problem im Apple Developer Support Forum beschrieben.“ Alter, der Exploit war auf den Internets. Wie wäre es, wenn Sie zulassen würden, dass sich Twitter von diesem Bug potenziell schützt, indem Sie ein Root-Passwort festlegen? http://t.co/sGLJW1pSOq

— elizabeth j allen (@ej_allen) 29. November 2017

Was mache ich jetzt?

Nun, das erste, was zu tun ist, ist zu prüfen, ob Systemupdate. Apple hat das automatische Patch-Update irgendwann in den letzten 24 Stunden eingeführt. Wenn das automatische Update nicht erschienen ist, sollten Sie zum Mac App Store gehen und dort nach dem Update suchen. Alternativ klicken Sie auf diesen Link.

Apple Patches Major macOS Sicherheitsproblem: Überprüfen Sie Ihre Updates jetzt

Sobald das Update heruntergeladen ist, installieren Sie es sofort.

Es isn ’ t Arbeiten

Wenn aus irgendeinem Grund das Update nicht install, schalten Sie zuerst Ihr System aus und wieder ein und versuchen Sie es dann erneut. Apple hat den Prozess automatisiert.

Ansonsten befolgen Sie die folgenden Schritte, um Ihr System in der Zwischenzeit zu sichern:

  • Öffnen Sie Spotlight, suchen Sie nach Verzeichnisdienstprogramm und wählen Sie die entsprechende Option
  • Klicken Sie auf die Sperre, um Änderungen vorzunehmen. Geben Sie Ihren Benutzernamen und Ihr Passwort für das Administratorkonto ein
  • Gehen Sie zu Menü > Bearbeiten
  • Wählen Sie Stammbenutzer aktivieren aus. Erstelle ein Passwort und verifiziere
  • Dies ist jedoch eine Lücke. Bitte versuchen Sie das offizielle Update zu installieren.

    Augen auf die Quelle

    Während Apple den Käfer anlegt, wenden sich die Augen an Lemi Orhan Ergan. Der selbst beschriebene “ Software-Handwerker ” wird kritisiert, weil sie sich nicht an verantwortliche Offenlegungsrichtlinien hält Vollständige oder verantwortliche Offenlegung: Wie Sicherheitslücken offengelegt werden Vollständige oder verantwortliche Offenlegung: Wie Sicherheitslücken offengelegt werden Sicherheitslücken in populären Softwarepaketen werden ständig entdeckt, aber wie werden sie den Entwicklern gemeldet? und wie erfahren Hacker über Schwachstellen, die sie ausnutzen können? Weiterlesen . Die verantwortungsbewusste Offenlegung fordert Sicherheitsforscher dazu auf, Unternehmen über Sicherheitsbedrohungen zu informieren, damit sie Zeit haben, den Fehler zu beheben. Nachdem der Fehler behoben wurde, kann der Forscher seine Ergebnisse der Öffentlichkeit präsentieren.

    DIES IST KEINE VERANTWORTLICHE OFFENLEGUNG. Das ist extrem unverantwortlich, besonders für eine Verwundbarkeit dieser Größenordnung. Apple verfügt über ein ausgezeichnetes Offenlegungssystem und sein Team ist außergewöhnlich reaktionsfreudig. BITTE mache solche Dinge nicht. http://t.co/E6iOX5A43C

    — Johnny Xmas (@ J0hnnyXm4s) 28. November 2017

    Natürlich funktioniert dieses System nicht immer wie beabsichtigt. Unternehmen reagieren nicht und Sicherheitsforscher werden ungeduldig. In diesen Fällen erzwingt die Erstellung eines öffentlichen Problems die Hand des Unternehmens und zwingt sie, die Sicherheitsbedrohung zu beheben.

    Nachdem er eine Menge Kritik erhalten hatte, veröffentlichte Ergan eine Antwort auf Medium. Er erklärt, dass er weder ein Hacker noch ein Sicherheitsspezialist ist. fortfahrend “ Ich konzentriere mich ausschließlich auf sichere Kodierungspraktiken während der Programmierung, aber ich kann mich nie einen Sicherheitsspezialisten nennen. ”

    Lieber @AppleSupport, wir haben ein * RIESIGES * Sicherheitsproblem bei MacOS High Sierra bemerkt. Jeder kann sich mit einem leeren Passwort als „root“ einloggen, nachdem er mehrmals auf den Login-Button geklickt hat. Sind Sie sich dessen bewusst? @Apple?

    — Lemi Orhan Ergin (@lemiorhan) 28. November 2017

    Der Fehler wurde fairerweise im Apple Support Forum diskutiert. Darüber hinaus behauptet Ergan, dass seine Kollegen bei der Zahlungsfirma Iyzico die Bedrohung für Apple am 23. November gemeldet hätten. aber nie eine Antwort erhalten.

    Augen auf den Ball

    Von der Quelle zur Firma. Hat Apple das hier durchs Netz gleiten lassen? Mit einem Wort, ja: vor allem, wenn sie von dem Fehler wussten, wie Ergan behauptet. Leider kennen wir die Wahrheit nicht, können also keine solide Einschätzung der Situation vornehmen.

    Auch wenn sie ihr zweites forciertes Update in einem Jahr erlitten haben (immer noch das zweite zwingende Sicherheitsupdate aller Zeiten), sollte Apple sich keine Sorgen machen. Fälle von MacOS und iOS-Malware steigen Apple-Malware-Anstiege nehmen zu – Hier ist, worauf Sie 2016 achten sollten Apple-Malware steigt – hier ist, worauf Sie 2016 achten sollten Apple-Hardware ist kein sicherer Hafen mehr vor Hackern, Malware, Ransomware und andere Cyber-Bedrohungen. Das erste Halbjahr 2016 beweist, dass ohne die richtigen Vorsichtsmaßnahmen Ihre Geräte zu Risiken werden können …. Lesen Sie mehr, aber Windows und Android bleiben die Hauptziele Was ist das sicherste mobile Betriebssystem? Was ist das sicherste mobile Betriebssystem? Wir kämpfen um den Titel des sichersten mobilen Betriebssystems: Android, BlackBerry, Ubuntu, Windows Phone und iOS. Welches Betriebssystem eignet sich am besten gegen Online-Angriffe? Weiterlesen . Darüber hinaus hat Apple zum größten Teil eine stellare Sicherheitsbilanz Der ultimative Mac-Sicherheitsleitfaden: 20 Möglichkeiten, sich zu schützen Der ultimative Mac-Sicherheitsleitfaden: 20 Möglichkeiten, sich zu schützen Seien Sie kein Opfer! Sichern Sie Ihren Mac noch heute mit unserer ausführlichen High Sierra Sicherheitsanleitung. Lesen Sie mehr, wie durch ihre rasche und effektive Aktualisierung angezeigt, um die wachsende Gefahr zu unterdrücken.

    Wurden Sie von dem Sicherheitsmangel in Apple betroffen? Oder ist das Update schnell genug angekommen, um Ihnen Sorgen zu machen? Lass uns deine Gedanken unten wissen!

    q , quelle

    Zusammenhängende Posts:

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.