Mac: Security Update 2017-001 schliesst "root"-Sicherheitslücke und Apple entschuldigt sich

29.11.2017 18:47 Uhr | iFreddie

Es dürfte in den letzten Stunden turbulent zugegangen sein im Apple Hauptquartier, zudem dürften in Folge noch Köpfe rollen.

Um das „Happy End“ vorweg zu nehmen, Apple hat binnen weniger Stunden das Security Update 2017-001 geschrieben und veröffentlicht. Dabei gehen die Kalifornier einen Weg, der von einem Notfallplan vorgegeben ist, der Security Fix wird vom Mac automatisch geladen und auch installiert.

Doch was war eigentlich los?

In der letzten Nacht wurde eine Sicherheitslücke bekannt, welche in macOS High Sierra gefunden wurde. Dabei handelte es sich um eine, dies absolut im Wortsinn, schwerwiegende Lücke, unbefugte Nutzer konnten sich „root“-Rechte beschaffen.
Ein Fehler in der Benutzerkontensteuerung erlaubte es ein „root“-Konto ohne Passwort zu erstellen. Mit diesem Konto konnte dann jeder Mac gekapert werden, auf welchem macOS High Sierra installiert war.
Zwar war der physische Zugriff auf einen Mac notwendig, was die Sicherheitslücke für privat genutzte Rechner etwas relativieren mag, für öffentliche Einrichtungen und Unternehmen sah es da aber schon ganz anders aus. Keine schöne Vorstellung das Unbefugte einfach nur einen Nutzer „root“ anlegen müssen um darauf den kompletten Mac mit vollen Zugriffsrechten übernehmen zu können.

Apple muss sich hier schon fragen lassen, wie es denn um die internen Prozesse zur Freigabe von Software im Unternehmen bestellt ist. Auch wenn das Unternehmen binnen weniger Stunden reagierte und die Lücke geschlossen hat. Die Entrüstung in der Mac Community ist jedenfalls gross und dies absolut zurecht.
Die Kalifornier haben sich in einem Statement zum Vorfall geäussert und auch entschuldigt. Und Fakt ist, Apple hat in den vergangen Stunden ein gutes Stück an Vertrauen bei den Nutzern verspielt.

Apples Statement

Sicherheit hat für jedes Apple Produkt höchste Priorität, und leider haben wir dies bei dieser Version von macOS nicht komplett erfüllt.
Als unsere Sicherheitsingenieure am Dienstagnachmittag [US-Westküstenzeit] auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, [17.00 Uhr MEZ] steht das Update zum Download bereit, und wird im weiteren Verlauf des Tages auch automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft.
Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies in Zukunft nochmals geschieht.

Meinung des Autors

Da wird ordentlich die Hütte gebrannt haben, bleibt abzuwarten was Apple aus der heutigen Erfahrung für die Zukunft mitnimmt.
Oben