Ein Bug, der vor Kurzem über Open Radar veröffentlicht wurde, zeigt eine Schwachstelle in macOS High Sierra. Diese ermöglicht den Zugriff auf die App Store Einstellungen in den Systemeinstellungen mit jeglichem Passwort.
macOS 10.13.2: App Store Einstellungen mit jedem Passwort entsperren
Die aktuelle macOS Version 10.13.2 enthält eine Sicherheitslücke, die es ermöglicht, dass ihr mit „irgendeinem“ Passwort auf die App Store Einstellungen in den Systemeinstellungen zugreifen könnt. Wir konnten das ganze soeben reproduzieren
- Klickt auf Systemeinstellungen
- Klickt auf App Store
- Klickt unten links auf das Schloss, um dieses zu verschließen (falls notwendig)
- Klickt erneut auf das Schloss, um es zu entsperren
- Gebt irgendeinen Benutzernamen ein
- Gebt irgendein Passwort ein
- Klickt auf „Schutz aufheben“
Wie aus der Meldung bei Open Radar hervorgeht, funktioniert dies nur, wenn ihr mit einem Admin-Account angemeldet seid. Bei der dritten und vierten Beta zu macOS High Sierra 10.13.3 konnte Macrumors das Problem nicht reproduzieren. Es scheint, als ob sich Apple der Sache bereits annimmt und in Kürze ein Update (entweder 10.13.3 oder ein ergänzendes Update zu 10.13.2) veröffentlicht. Mit macOS 10.12.6 liegt dieses Problem nicht vor.
Seid ihr mit eurem Admin unter macOS 10.13.2 angemeldet und hat jemand physikalischen Zugriff auf euren Mac, so kann die Person grundsätzlich eure App Store Einstellungen verändern. Behaltet das solange im Hinterkopf.
Ende November wurde eine Root-Sicherheitslücke bekannt, die Apple mit dem Sicherheitsupdate 2017-001 geschlossen hat. Hierfür hat sich Apple bereits entschuldigt. Ein Workaround für das neue Problem ist uns aktuell nicht bekannt. Wir gehen davon aus, dass die Lücke von Apple in Kürze geschlossen wird.
Wenn ihr uns fragt, haben sich in macOS High Sierra zu viele Ungereimtheiten eingeschlichen. Fehler die einfach nicht passieren dürfen. Immerhin ist Apple dafür bekannt, in so einem Fall schnell zu reagieren und Updates zu liefern.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
„Wenn man als Admin angemeldet ist“ Aha!
Ich würde sagen: Das ist kein Bug – das ist eine Erleichterung.
Wenn die Kids allerdings das Admin-Passwort haben, uiuiu! Schnell die Kreditkarte sperren!!!!!! (Arsch versohlen ist ja nicht mehr erlaubt)