/root-Lücke in macOS: Apple hatte wohl mehr Zeit zum Patchen als gedacht

root-Lücke in macOS: Apple hatte wohl mehr Zeit zum Patchen als gedacht

root-Lücke in macOS: Apple hatte wohl mehr Zeit zum Patchen als gedacht


Ben Schwan


Einmal Root bitte…

Anfang der Woche sorgte ein schwerwiegendes Sicherheitsloch in High Sierra für weltweite Schlagzeilen. Apple soll aber früher informiert worden sein, als bislang bekannt.

Apple bekam am frühen Mittwochabend viel Lob dafür, dass der Konzern ein kritisches Sicherheitsproblem in macOS High Sierra offenbar sehr kurzfristig mittels Software-Update behob – es war erst am Dienstagabend weltweit hochgekocht, ausgelöst durch den Tweet eines türkischen Entwicklers.

Der hat nun allerdings ein Post Mortem zu den Vorgängen veröffentlicht, in der sich die Situation etwas anders darstellt. Demnach kam der Disclosure an den Apple-Support nicht erst mittels Twitter am 28. November, sondern es gab vorab eine direkte Information des Konzerns durch einen Mitarbeiter seiner Firma.

Apple schon am 23. November informiert

Wie Lemi Orhan Ergin‏ weiter schreibt, der für iyzico.com arbeitet, sei Infrastrukturexperten seiner Firma das Problem schon vor einer Woche aufgefallen. Am 23. November sei dann Apple informiert worden. Danach passierte zunächst nichts. Erst fünf Tage später kam es dann zu einer Stellungnahme Apples in Reaktion auf Ergins Tweet sowie am 29. November zum Patch. “Einfach gesagt: Ich war nicht derjenige, der die Sicherheitslücke entdeckt hat, sondern derjenige, der sie sichtbarer gemacht hat, indem er sie auf Twitter erwähnte.” Warum Apple nicht schon früher reagierte, ist unklar.

Dass der Bug schon seit mindestens zwei Wochen kursierte, ließ sich auch über Forenrecherchen feststellen. Sogar in Apples offiziellem Hilfeforum wurde die Lücke als “Trick” weitergereicht, um einen Account, dessen Passwort man vergessen hatte, schnell wiederherzustellen. Es ist unklar, ob Apple-Mitarbeiter diese Postings verfolgten.

Entwicklungsprozesse sollen untersucht werden

Mit der Lücke war es möglich, Superuser-Zugang auf einen Mac zu erhalten, ohne ein Passwort zu verwenden: Es reichten die Eingabe von “root” sowie ein paar Klicks. Apple teilte im Zusammenhang mit der Erteilung des Patches mit, dass man sich für die Schwachstelle entschuldige.

Sicherheit sei eine “Top-Priorität” bei jedem Apple-Produkt und man bedauere diesen Fehler sehr. Damit dies nicht nochmal passieren kann, werde man die Entwicklungsprozesse überprüfen.


(bsc)