In der aktuellen MacOS High Sierra Version besteht ein Fehler in den Systemeinstellungen im Karteireiter Mac App Store. Dieser soll normalerweise nur gegen Eingabe eines Administratorpassworts für Veränderungen zugänglich sein, jedoch ist dies momentan nicht der Fall. Hier können Unbefugte den Nutzernamen eines Administrators eingeben und anschließend als Passwort jede beliebige Zeichenkette setzten. Betroffen scheinen die Versionen 10.13, 10.13.1 sowie 10.13.2 zu sein.

Damit dieser Bug ausgenuzt werden kann, muss der eingeloggte Account selbst ein Administrator Account sein. In den App-Store-Einstellungen kann dann festgelegt werden, ob für Einkäufe und In-App-Verkäufe ein Passwort benötigt wird oder ob für kostenlose Downloads das Passwort gespeichert werden soll. Das größte Problem besteht darin, dass sicherheitsrelevante Updates de- und aktiviert werden können. So könnten Angreifer verhindern, dass der Rechner schnelle Fixes bekommt.

Diesen Fehler hat ein Nutzer im offenen Bugtracking-System für Apple-Software OpenRadar bereits vor zwei Tagen öffentlich gemacht. Bislang hat Apple darauf nicht reagiert. Entwickler, die die dritte oder vierte Beta von macOS 10.13.3 einsetzen, berichten, dass die Eingabe eines falschen Passworts nicht mehr möglich ist.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE