Apple veröffentlicht Security-Update für MacOS

Eine schwerwiegende Sicherheitslücke ermöglicht es Angreifern, sich ohne Eingabe eines Passwortes auf Rechnern mit MacOS 10.13.1 anzumelden. Dazu muss nur der Benutzername „root“ eingegeben werden und mehrmals der „Login“-Button gedrückt werden. Die Lücke, die vom Entwickler Lemi Orhan Ergin entdeckt wurde, wurde jetzt in einem Zeitraum von weniger als 24 Stunden von Apple geschlossen. Das berichtet "Techcrunch" am Dienstagabend mit Verweis auf einem Screenshot eines "Security Updates".

Bis das Update bei allen betroffenen Endnnutzern ankommt, wird es wohl noch einige Zeit dauern. Nutzern von MacOS 10.13.1 wir auf jeden Fall empfohlen, das Update möglichst rasch einzuspielen, wenn es ihnen angezeigt wird. Das empfiehlt auch Apple selbst: "Installiere dieses Update so bald wie möglich", heißt es in den Veröffentlichungsnotizen zum Security Update 2017-001 im Mac App Store. Die Sicherheitslücke wird von vielen Experten nämlich als äußerst kritisch eingestuft. Damit könnten Eindringlinge beliebige Änderungen am System vornehmen und nach Belieben Daten stehlen.

Probleme durch die Lücke

„Durch den Fehler wird ein sogenannter Root-Nutzer angelegt, der uneingeschränkten Zugang auf das System gewährt“, sagt der Sicherheitsexperte Dieter Vymazal von der FH Hagenberg gegenüber der futurezone. Das funktioniert nicht nur bei physischem Zugriff auf das System, sondern auch über Fernwartungszugänge, die über das Internet angesteuert werden können. „Bei einer Standardinstallation sind die meisten Möglichkeiten für einen Remotezugriff deaktiviert. Bei Firmenrechnern und wenn der Nutzer an Dateifreigaben herumgewerkt hat, kann das aber durchaus anders sein“, sagt Vymazal.

Für Apple ist das Ganze ziemlich peinlich und daher hat der Konzern möglicherweise so rasch reagiert. Der alte Informatikerwitz „Was ist klein, gelb und sehr gefährlich? Ein Kanarienvogel mit Root-Passwort“ zeigt auf, dass der Root-Zugang zu einem System große Probleme mit sich bringen kann. Dass der Kanarienvogel bei Apple derzeit auch ohne Passwort wüten kann, ist für einen Konzern, der in der Vergangenheit auch mit den angeblich überlegenen Sicherheitsvorkehrungen der eigenen Produkte geworben hat, unangenehm.

Apple-Kunden haben in der Vergangenheit oft gelacht, wenn sie gehört haben, wie Windows-Nutzer über Antivirensoftware geredet haben. Dass ihre Systeme sicherer waren, lag damals aber vor allem an der geringen Zahl der Geräte.

„Apples Betriebssysteme waren nie sicherer als die Konkurrenz. Durch die geringere Verbreitung waren die Nutzer früher aber ein weniger attraktives Ziel für Angreifer. Heute gilt das nicht mehr“, sagt Dieter Vymazal von der FH Hagenberg. Der IT-Fachmann rät auch Apple-Anwendern zur Installation eines Virenscanners: „Das kann zumindest eine zusätzliche Barriere darstellen.

Die häufigsten Eintrittspunkte für Angreifer sind heute manipulierte E-Mails oder Webseiten, über die Schadsoftware installiert wird. Solche Angriffe sind nicht nur vom Betriebssystem abhängig, sondern richten sich gegen Browser und andere plattformübergreifende Systeme.“

Die Nutzer sind für Angreifer heute zudem oft das einfachste Glied in der Sicherheitskette eines modernen Computersystems. Werden sie zu unüberlegten Klicks oder Installationen verleitet, nützt auch der beste technische Schutz nichts mehr. „Nutzer sollten System und Software immer aktuell halten, nur vertrauenswürdige Programme und Plug-ins installieren, die sie auch wirklich benötigen, und immer skeptisch sein, wenn das System sie etwas fragt. Passwortmanager, Zwei-Faktoren-Authentifizierung und regelmäßige Datensicherung sind ebenfalls ratsam“.