News macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

HuNtaYo

Lt. Junior Grade
Dabei seit
Feb. 2011
Beiträge
471
#2
Gerade bei meinem Macbook Pro ausprobiert - traurig aber wahr!
 
Dabei seit
Okt. 2011
Beiträge
1.777
#3
Ich finde das super. Da kann wenigstens jeder herumstehende Macs ohne Aufwand komplett durchtesten durch den Vollzugriff. Jeder Mac wird zum Vorführgerät :D. Das erhöht dann die Absatzzahlen....oder so...
 
Dabei seit
Feb. 2008
Beiträge
643
#5
Erst mal zu Mediamarkt und Saturn, mal schauen wie die Vorführgeräte so ausgestattet sind :D
 

IndianaX

Lt. Commander
Dabei seit
Apr. 2008
Beiträge
1.925
#6
Schon peinlich. Der Fix müsste eigentlich heute Nachmittag kommen, alles andere wäre zu lang/spät!
 
Dabei seit
Feb. 2012
Beiträge
2.665
#8
Wie kann man so eine krasse Sicherheitslücke denn übersehen? Naja die Softwarequalität wird bei Apple eh seit Jahren immer schlechter, da wundert mich nichts mehr. Wenn sie da für ein Update mehr als 24 Stunden brauchen, ist es ein echtes Armutszeugnis. Als Entscheider welche IT Geräte angeschafft werden, würde bei mir Apple bei solchen eklatanten Sicherheitslücken sofort rausfallen.
 
Dabei seit
Nov. 2003
Beiträge
9.498
#10
Das ist ja wie beim Huawei uFeel lite eines Bekannten. Aktiver Fingerabdruckscanner lässt sich von fast jedem Finger umgehen ^^
 

moodo

Cadet 4th Year
Dabei seit
Juli 2011
Beiträge
101
#12
Ich wusste das schon lange und habe es nicht als Sicherheitslücke betrachtet. Bei UNIX Systemen ist das root Passwort standardmäßig immer empty. Kann ja auch sinnvoll sein.
 
Zuletzt von einem Moderator bearbeitet: (Fullquote des direkten Vorposter entfernt)
Dabei seit
Dez. 2016
Beiträge
803
#13
Ja, auch Apple macht Fehler. Gravierende Fehler wie dieser sind glücklicherweise selten, aber sowas darf nicht passieren. Solche eigentlich trivialen Lücken müssen vor der Freigabe von Betriebssystemen geprüft werden.

@momdiavlo: Diese Lücke findet man nur durch Zufall, weil man damit eigentlich nicht rechnet. Erstaunlich finde ich aber auch den Bug beim iPhone, wenn man das Datum auf den 1.1.1970 stellt und die Zeitzone ändert. Wie viel Langeweile braucht es, das zu finden?
 

_LC_

Cadet 1st Year
Dabei seit
Okt. 2017
Beiträge
12
#14
Das wirklich Ärgerliche daran ist, dass es solche Fehler schon zuhauf gab. Sie sollten eigentlich Bestandteil jeder Testsuite sein, die vor dem Ausrollen (automatisch) durchlaufen werden müsste. Apple spart sich dies. Das ist der Casus knacktus und ein Skandal.
 
Dabei seit
Jan. 2008
Beiträge
631
#15
Twitter mag zwar tatsächlich nicht der beste Weg sein um solch einen Bug zu melden, aber...

da sie jeden gegebenenfalls auch sicherheitsrelevanten Mac mit macOS High Sierra einer hohen Gefährdung durch unbefugten Zugriff aussetze.
Wenn das der Fall ist gehört der Sysadmin eh gefeuert.

Die Lücke funktioniert soweit ich das gelesen habe eh nur bei Systemen bei denen kein root Passwort gesetzt ist.
 
Dabei seit
Feb. 2012
Beiträge
2.665
#18
Ich wusste das schon lange und habe es nicht als Sicherheitslücke betrachtet. Bei UNIX Systemen ist das root Passwort standardmäßig immer empty. Kann ja auch sinnvoll sein.
??? Bei keinem mir bekannten Unixoiden Betriebssystem (außer jetzt MacOS) ist das Rootpasswort leer. Es ist keins für den Login hinterlegt (kennt jeder von einer Ubuntuinstallaion), man kann sich trotzdem nicht als Rootuser ohne Passwort anmelden. Und mir ist kein Fall bekannt, wo es sinnvoll wäre, dem Rootuser einen freien Login zu verpassen. Damit ist das System offen wie ein Scheunentor und jeder kann mit dem Rechner machen, was er will
 
Dabei seit
Aug. 2010
Beiträge
2.332
#19
Naja die Softwarequalität wird bei Apple eh seit Jahren immer schlechter, da wundert mich nichts mehr.
Das Gegenteil ist eher der Fall. Die Qualität ist in den letzten Jahren gestiegen, allerdings haben sie es mit 10.13 und ios 11 echt versaut. Diese sind qualitativ wirklich nicht gut.

Als Entscheider welche IT Geräte angeschafft werden, würde bei mir Apple bei solchen eklatanten Sicherheitslücken sofort rausfallen.
Du würdest also Briefpapier und Stifte kaufen, herzlichen Grlückwunsch und wilkommen in der Steinzeit. Jedes System hat Lücken die ausgenutzt werden können.

@Mihawk90 und warum sollte ein Sysadmin ein root pw setzen? Immerhin ist macOS eigentlich "rootless". Und ein login damit ist im Normalfall überhaupt nicht möglich.
Es ist ja sogar noch schlimmer. Es funktioniert mit jedem User der kein PW gesetzt hat und auch über VNC!
 
Dabei seit
Dez. 2016
Beiträge
803
#20
Jedes System hat Lücken die ausgenutzt werden können.
und @Shoryuken94

Wieviele Personalabteilungen und Krankenhäuser (in England) hatten nochmal Probleme mit Verschlüsselungstrojanern? Damit fällt Windows eigentlich auch raus. Und Linux ist in München auch rausgeflogen. Dann gäbe es noch Android, aber die Firmen möchten ihre Daten vorzugsweise behalten und Kontrolle darüber haben, wodurch Android also auch keine Option ist. Also würde Shoryuken94 garkeine IT-Geräte anschaffen.

Meiner Meinung nach sollte der Admin und nur dieser in größeren Firmen Root-Zugriff haben und müsste damit sowieso selbst ein Root-Passwort vergeben, sofern die Geräte zentral verwaltet und eingerichtet werden. Bei uns in der Uni ist jeder Doktorand für sein eigenes Gerät selbst verantwortlich.
 
Top