macOS High Sierra: Neue Sicherheitslücke ignoriert eingegebenes Passwort
Marco Jahn, den 11. Januar 2018In macOS High Sierra gibt es – wieder einmal – eine Sicherheitslücke, die das Passwort im Grunde genommen nutzlos macht, wenngleich kein zu hoher Schaden zu befürchten ist. Es geht um die Einstellungen zum App Store in den Systemeinstellungen.
Kein großer Schaden
Die meisten Nutzer eines Macs verwenden einen Administrator-Account. Wer in die Systemeinstellungen, zu App Store geht, findet hier bereits alle Optionen freigeschaltet. Es gibt jedoch die Möglichkeit, durch einen Klick auf das Schloss, die Einstellungen zu sperren. Wer das tut und die Einstellungen wieder freigeben möchte, soll sein Passwort eingeben. Allerdings wird das Passwort schlichtweg ignoriert – man kann buchstäblich alles oder nichts eingeben und das System akzeptiert dies. Die Lücke wurde bei Open Radar publiziert.
Das Ganze funktioniert nur mit einem Administrator-Account, bei dem die Einstellungen aber ohnehin standardmäßig offenliegen. Ein Nutzer ohne Admin-Rechte kann sch auf diese Weise keine Einstellungen erschleichen, die er nicht ändern sollte.
Apple hat die Lücke in der aktuellen Vorabversion von macOS High Sierra, 10.13.3, schon behoben. In der stabilen Version lässt sich das aber nach wie vor praktizieren.