Sicherheitslücke in macOS High Sierra mit Patch geschlossen

[PitiL]

... Katastrophe ...

Auch mit diesem Begriff sollte man m.E. vorsichtiger umgehen. Der Vorgang ist schlimm genug, aber eine Katastrophe ist noch etwas anderes.

 

[Cohni]

So lange man nicht weiß, wann Apple von dem Fehler erfuhr, ist es abwegig zu behauten, der Patch sei "sehr schnell" gekommen. Der von mir gelieferte Hintergrund unterstreicht dies nur.

Na aber dann ist es doch logischerweise genauso abwegig zu behaupten, es hätte lange gedauert. Ob Apple die Einträge im Forum gelesen hat, weiß man einfach nicht.

EDIT PS: Mir ist es ehrlich gesagt auch vollkommen wurscht. Ich habe heute davon erfahren und schon ist es gefixt. Schlaflose Nächte über ein "Was hätte passieren können" werde ich sicher nicht haben.

 

[ottomane]

Na aber dann ist es doch logischerweise genauso abwegig zu behaupten, es hätte lange gedauert.

Dies habe ich, wie bereits oben schon erklärt, nicht behauptet.

 

[PitiL]

... es hätte lange gedauert.

Und wenn es blöd läuft, dann ist der Fix jetzt vor vollständigem Abschluss der Testphase veröffentlicht worden, weil sich Apple wegen der Twitter-Meldung dazu gezwungen sah.

 

[ottomane]

Da es kaum schlimmer kommen konnte als mit diesem Bug war der Schritt richtig und wichtig.

 

[Apfelkescher]

Zum Glück habe ich noch kein Update auf High Sierra gemacht.

Es zeigt sich immer mehr, dass Updates von Apple nur noch Bullshit sind und man mit dem nächsten Update so lange warten sollte, bis eine völlig neue Version kurz bevor steht. Dann ist die aktuelle nämlich endlich einigermaßen Bugfrei.

Das gleiche gilt für iOS 11. Hätte beim 10er bleiben sollen.

 

[Cohni]

Dies habe ich, wie bereits oben schon erklärt, nicht behauptet.

Dann lass es mich mal so formulieren.

Solltest Du mit Deiner Vermutung Recht haben und Apple wusste schon am 13.11. vom Bug Bescheid, weil sie das Forum fleißig mitlesen, dann könnte ich Deiner darauf folgenden Einschätzung zustimmen, dass für einen derartigen Bock viel zu langsam reagiert wurde. Leider bewegen wir uns damit aber im Bereich der heftigen Spekulation und ich kann zu einer solchen Einschätzung nicht kommen, weil mir hierfür die Grundlage fehlt und ich von Hause aus dazu neige, zunächst im Zweifel für den Angeklagten zu urteilen.

Fakt scheint zu sein, dass Apple am 23.11. offiziell unterrichtet wurde. Okay, das sind immer noch sechs Tage für einen überaus gravierenden Fehler (daran besteht absolut kein Zweifel), aber diesen Zeitraum empfinde ich noch gerade als angemessen.

Eine Diskussion über "Vielleicht hat Apple es schon viel früher gewusst und deswegen viel zu langsam reagiert" ist aus meiner Sicht wenig sinnvoll, da ich mich gerne an Fakten halten mag. Na klar, es ist nicht alles bekannt, aber eine Tatsache scheint nunmal der 23.11. zu sein, oder liege ich falsch? Was davor passiert ist, wissen wir nicht. Vermutung bleibt Vermutung.

 

[u0679]

So, Patch installiert. Wollen wir hoffen, dass bei HighSierra jetzt endlich mal Ruhe einkehrt.

 

[Martin Wendel]

Na klar, es ist nicht alles bekannt, aber eine Tatsache scheint nunmal der 23.11. zu sein, oder liege ich falsch?

Wir wissen auch nur, dass am 23.11. eine E-Mail an Apple geschickt wurde. Wohin genau - es gibt zB ja eine eigene Kontaktadresse für Sicherheitslücken - ist nicht bekannt.

 

[ottomane]

Es geht mir darum, dass es eben nicht ‚sehr schnell’ war, wie es behauptet wird.

Du bestätigst diese Aussage.

Die Diskussion über ‚viel zu langsam‘ führe ich überhaupt nicht. Darum geht es mir nicht. Das habe ich nun schon genügend erklärt.

 

[Cohni]

Ohne Insiderkenntnis kann man ohnehin nichts einschätzen. Vielleicht hat der eine oder andere eine falsche Formulierung gewählt, denn ob jemand Apples Reaktion als schnell oder langsam definiert, ist ausschließlich eine persönliche Einschätzung.
Es gibt kein festgeschriebenes Maß, wie schnell ein Hersteller auf soetwas reagieren muss oder soll.

Für mich wären 16 Tage zu langsam, 6 Tage gerade noch schnell genug. Theoretisch.

Aber da ich erst heute von dem Bug erfahren habe, nicht ein einziger Fall der Ausnutzung publik und der Fehler heute schon gefixt wurde, weigert sich mein Verstand, jetzt noch großes Fass aufzumachen.

Sie haben Mist gebaut, haben reagiert, haben sich entschuldigt. Ähm...wie begegnet man solchen Momenten im „wahren“ Leben da draußen? Doch eher positiv, oder?

 

[giesbert]

Ohne Insiderkenntnis kann man ohnehin nichts einschätzen.

eben. Ob Apples Reaktion nun "schnell", "normal" oder "langsam" war, kann man doch erst dann beurteilen, wenn man Vergleichswerte hat. Bauchgefühlt reicht da nicht .

sechs Tage bzw. vier Arbeitstage.

Du glaubst doch nicht ernsthaft, dass man bei Apple in der Softwareentwicklung entspannte 9to5-Jobs mit 5 Arbeitstagen hat? Das ist doch keine Klitsche mit Minimalbesetzung; ich vermute stark, dass da rund um die Uhr an jedem Tag der Woche gearbeitet wird. Und bei so einem Super-GAU erst recht.

 

[Balkenende]

Wer kann das mit Bestimmtheit sagen !

Apple:

Security Update 2017-001 is now available and addresses the
following:

Directory Utility
Available for: macOS High Sierra 10.13.1
Not impacted: macOS Sierra 10.12.6 and earlier
Impact: An attacker may be able to bypass administrator
authentication without supplying the administrator’s password
Description: A logic error existed in the validation of credentials.
This was addressed with improved credential validation.
CVE-2017-13872

 

[Benutzer 190524]

https://9to5mac.com/2017/11/29/how-to-fix-macos-file-share/

Passt schon...:rolleyes:

 

[Cohni]

Wobei ich diesen Satz persönlich unterschreiben mag:

„Ultimately, as some have pointed out, this bug is a small price to pay for Apple’s quick turnaround time in fixing the serious “root” security hole. The file share problems should not be a reason to avoid installing today’s update either, especially with the above fix.“

Bei mir ist alles schick.

 

[MichaNbg]

Heute ist der 29.11. - das sind also seit dem 23.11. sechs Tage bzw. vier Arbeitstage. Das findest Du wirklich langsam? OK, kann ich nicht nachvollziehen...

Für einen derartigen Bug ist eine solche Zeitspanne eine richtige Katastrophe.

Wir sprechen hier ja nicht vom MacBook, das in den eigenen vier Wänden steht sondern von hunderrtausenden Macs in Unternehmen um die sich Apple ja in den letzten Jahren besonders gemüht und mit denen sie sogar Werbung (IBM) gemacht haben.

Bei denen kommt es garantiert nicht gut an, dass ihre Systeme mit hochsensiblen Daten mal eben kurz geöffnet werden können oder sich Mitarbeiter selbst zum root auf ihrem System machen können In diesen sechs Tagen (und vermutlich ist es "in Kreisen" noch deutlich länger bekannt) kann verdammt viel passieren.

Werbung für mehr professionelle Unternehmen oder gar Umstieg größerer Konzerne auf macOS ist das bestimmt nicht. Da braucht man gar nichts relativiern. Würde Microsoft so etwas passieren, würden wir hier Seiten langen Spott und Häme lesen.

 

[Macbeatnik]

Dann nenne doch mal Fälle, bei denen eingeweihte Kreise diese Lücke genutzt haben.

 

[MichaNbg]

Dann nenne doch mal Fälle, bei denen eingeweihte Kreise diese Lücke genutzt haben.

Ist das dein Argument? Wenn irgendwo ein Brückengeländer fehlt und jemand beschwert sich, dass da seit Wochen jemand runterfallen könnte, sagst du dann "nenne doch mal Fälle in denen hier jemand runtergestürzt ist"?

Oh Mann.... Ist ja wieder sehr Ernst zu nehmen.


Du kannst davon ausgehen, dass Unternehmen, die schon auf High Sierra sind, jetzt in der Tat auf die Suche nach Hinweisen gehen werden. Und das nächste Update erst male in paar Monate vor sich her schieben.

 

[Martin Wendel]

Und das nächste Update erst male in paar Monate vor sich her schieben.

Und damit andere Sicherheitslücken offen lassen? Sehr klug.

 

[ogabler]

Weiss jemand ob in der Aktuellen Beta der Bug auch gefixt worden ist?