Security Alert: macOS High Sierra (immer noch)

Apple läßt Euch (und mich) nicht zur Ruhe kommen, denn – wie Tante Heise berichtet – installiert man macOS 10.13.1 auf einem bereits gegen die gravierende Root-Lücke abgesicherten Mac, kehrt die Schwachstelle zurück: Das Update schleust nämlich wieder die ältere fehlerhafte Version der Verzeichnisdienste ein. Besonders problematisch: Der Nutzer wird in Sicherheit gewogen, da das wichtige Sicherheits-Update 2017-001 nach der Installation von 10.13.1 nicht mehr angeboten, sondern vom Mac App Store als bereits installiert aufgeführt wird.

Nutzer sollten deshalb nach einer Neuinstallation oder einem System-Update von macOS 10.13.0 auf 10.13.1 unbedingt die Versionsnummer der Verzeichnisdienste prüfen, indem sie im Terminal

what /usr/libexec/opendirectoryd

eingeben. Nur wenn die Version opendirectory-483.20.7 erscheint, ist macOS 10.13.1 gegen die Root-Schwachstelle abgesichert. Sollte opendirectory-483.20.6 ausgegeben werden, ist der Mac unsicher: Ein Angreifer kann sich unter bestimmten Voraussetzungen einfach mit einem beliebigen Passwort als Root anmelden – und den Computer dadurch übernehmen.

Es wird berichtet, daß nach einem Neustart des Computers das Sicherheit-Update wieder im App Store angeboten wird. Ob dann auch eine automatische Installation erfolgt, ist zum Zeitpunkt noch unklar.

(Kommentieren)