Weiterer Passwort-Fehler in macOS High Sierra entdeckt

Erneut wurde ein Passwort-Problem in Apples neuestem Mac-Betriebssystem «macOS 10.13 ‹High Sierra›» entdeckt. Im Vergleich zu der gravierenden Root-Lücke von Ende November, ist der neue Fehler aber weitaus weniger schlimm.

Stefan Rechsteiner

Dieser Tage sorgt ein weiterer Passwort-Fehler in macOS High Sierra für Aufregung. Ende November 2017 wurde eine gravierende Sicherheitslücke in macOS bekannt – Mac-Computer die mit der neuesten Version des Betriebssystems ausgerüstet waren und das Root-Passwort nie manuell geändert haben, hatten einen aktiven Root-Benutzer ohne Passwort. Apple behob das Problem innerhalb von wenigen Stunden mit einem Software-Update. Die nun neu entdeckte Lücke ist in der Tragweite in keinster Weise vergleichbar mit der damaligen schwerwiegenden Root-Lücke, lädiert Apples Ruf für Software-Qualität aber ein weiteres Mal.

Konkret wurde in den Systemeinstellungen von macOS High Sierra ein Fehler entdeckt, durch welchen die Pref-Pane zum App Store ohne Eingabe eines Administratoren-Passworts verändert werden kann. Werden die Einstellungen durch das Anklicken des Schloss-Symbols in der unteren linken Ecke «entsperrt» werden soll, kann mit der Angabe eines Administratoren-Nutzernamens als Passwort jede beliebige Zeichenkette eingegeben werden und das Pref-Pane lässt sich entsperren.

Das Ganze ist aber nur minimal gefährlich, denn dieser Fehler tritt nur dann auf, wenn man bereits mit einem Administratoren-Konto am Mac angemeldet ist. In diesem Falle sind die App-Store-Einstellungen standardmässig aber sowieso schon entsperrt. Überdies umfasst das App-Store-Pref-Pane keine sonderlich sensitiven Einstellungen.

Apple soll den Fehler in den Beta-Versionen des nächsten High-Sierra-Updates auf Version 10.13.3 bereits behoben haben.

Eingabe einer beliebigen Zeichenkette als Passwort entsperrt das App-Store-Pref-Pane in macOS High Sierra 10.13.0, 10.13.1 und 10.13.2