Apple patcht macOS High Sierra

Apple hat eine kritische Sicherheitslücke in macOS 10.13 (High Sierra) geschlossen, die einem als Standardbenutzer eingeloggten Angreifer das Erlangen von Root-Rechten ermöglichte. Dazu musste dieser lediglich in den Systemeinstellungen zu einem Dialog navigieren, der Administratorrechte verlangt, bei leerem Passwortfeld den Nutzernamen „root“ eingeben und ein oder mehrere Male auf „Schutz aufheben“ klicken. Dies funktionierte auch beim Login nach dem Hochfahren des Rechners, sofern dort die (standardmäßig inaktive) Möglichkeit konfiguriert war, den Account-Namen frei auszuwählen.

Als Workaround empfahl Apple zunächst, den Root-Zugang zu aktivieren und dort ein Passwort zu setzen. Kurze Zeit später veröffentlichte der Konzern das Sicherheits-Update 2017-001 – und besserte wegen daraus resultierender Probleme mit der Dateifreigabe kurz darauf noch einmal nach. Die aktualisierte Update-Fassung ist an der Build-Nummer 17B1003 (abrufbar über „Über diesen Mac/Systembericht/Software“) erkennbar und eignet sich sowohl für macOS 10.13.0 als auch für Version 10.13.1. Das Update sollte sich automatisch installieren. Wenn nicht, kann man den Vorgang über den App Store von macOS starten. Apple betont, dass andere Betriebssystemversionen nicht betroffen seien, und rät Betroffenen dazu, den Root-Zugang nach der Aktualisierung wieder zu deaktivieren.

Der Konzern hatte zunächst viel Lob für die Update-Veröffentlichung innerhalb eines Tages erhalten. Später stellte sich allerdings heraus, dass er bereits seit mehreren Tagen – möglicherweise auch länger – von dem Problem gewusst hatte. (ovw@ct.de)