#fuckingfriday. Wieder einmal weisen die Systemeinstellungen im aktuellen Betriebssystem für Mac-Computer macOS High Sierra v10.13.2 eine Sicherheitslücke im User-Interface auf. Das Kontrollfeld App Store kann mit einem beliebigen Passwort entsperrt werden, wenn der aktiv angemeldete Nutzer in der Gruppe Admin mit erweiterten Nutzungsrechten ausgestattet ist: openradar.appspot.com/36350507.
Hoo-boy. macOS has yet *another* password flaw — which lets a logged-in admin user change App Store preferences by entering any random or no password at all. Here's the details. openradar.appspot.com/36350507 pic.twitter.com/E1J7ASWk7r
— Zack Whittaker (@zackwhittaker) January 10, 2018
Auf den ersten Blick scheint das Risiko begrenzt. In der Praxis allerdings arbeiten die meisten Mac-Anwender mit dem bei der Ersteinrichtung angelegten Admin-User und somit mit erweiterten Admin-Rechten.
Daher wiederhole ich meinen Tipp: Legen Sie sich für die tägliche Arbeit einen weiteren unpriviligierten Nutzer an.
Die Sicherheitslücke öffnet noch weitere Systemeinstellungen. Zum Beispiel das Kontrollfeld Netzwerk und Freigaben, aber nicht das Kontrollfeld Benutzer & Gruppen, das ohne Passwort durch mehrmaliges Klicken auf die Schaltfläche Unlock entsperrt werden konnte. Diese Lücke wurde Ende November mit einem Sicherheitsupdate für macOS High Sierra 10.13.1 geschlossen.
Nun warten wir auf ein Sicherheitsupdate für macOS High Sierra 10.13.2 für die neue Lücke.