Apple hat am Tag nach dem Bekanntwerden einer schweren Sicherheitslücke in seinem aktuellen Betriebssystem MacOS High Sierra ein Update veröffentlicht. Die Lücke ermöglichte es Angreifern ohne Eingabe eines Passworts vollständigen Zugriff auf einen Computer zu erlangen, der STANDARD berichtete. "Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Anwendern, sowohl dafür, dass diese Sicherheitslücke aufgetreten ist als auch für die dadurch entstandene Beunruhigung", erklärte der Konzern am Mittwochabend.

Update sollte dringend installiert werden

Das Update steht über den Mac App Store auf Computer mit MacOS High Sierra zur Verfügung. Apple hat die Aktualisierung mit dem Hinweis versehene: "Installiere dieses Update so bald wie möglich." Aus den Release-Notes zum Update gehen keine weiteren Informationen hervor, als bislang bekannt waren.

Angreifer können auf einem nicht aktualisierten System über einen Gastaccount in den Einstellungen für "Nutzer und Gruppen" auf das Schloss-Symbol klicken und müssen danach bei der Login-Abfrage nur "root" als Nutzernamen eingeben ohne ein Passwort angeben zu müssen. Danach werden dem Konto Administratorenrechte zugeteilt.

Der Fehler betrifft die aktuelle macOS-Version 10.13. Ältere Versionen des Betriebssystems sind nicht betroffen. Über den Root-Zugriff kann man System-Einstellungen verändern – so könnte über ihn zum Beispiel eine schützende Firewall deaktiviert werden. Der unbefugte Zugriff war selbst noch möglich, wenn der Root-Zugriff deaktiviert war.

Peinlicher Fehler

Bis das Update fertig war, empfahl der Konzern den Nutzern, ein Passwort für den Root-Account zu setzen. Apple zeigte sich selbstkritisch: "Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies in Zukunft nochmals geschieht."

Ein Fehler dieser Art ist für Apple besonders peinlich, denn der Konzern wirbt mit einem besonderen Augenmerk auf Datenschutz und Sicherheit auf seinen Geräten. Apple sprach von einem Logik-Fehler bei der Bestätigung der Zugangsrechte, der zu der Sicherheitslücke geführt habe.

Schon kurz nach der Vorstellung des neusten Betriebssystems High Sierra Ende September musste Apple eine Sicherheitslücke stopfen. Damals war es möglich, mit einer speziellen App den sogenannten Schlüsselbund von MacOS auszulesen. In dieser verschlüsselten Datei kann das Betriebssystem Passwörter für Websites und Zugangsdaten für Server ablegen. (red/APA, 29.11.2017)