Apple hat schnell auf die gestern bekannt gewordene root-Sicherheitslücke in macOS High Sierra reagiert: Das heute bereitgestellte Sicherheitsupdate 2017-001 behebt den schwerwiegenden Fehler, durch den lokale User root-Zugriffsrechte ohne Eingabe eines Passworts erlangen konnten.
Nutzer von macOS 10.13.1 sollten das Update nach Herstellerangaben so bald wie möglich aufspielen. Ein Neustart nach der Installation ist nicht erforderlich. Die Build-Nummer von macOS High Sierra ändert sich auf 17B1002. Das Sicherheitsupdate 2017-001 ist bislang nur über den Mac-App-Store und nicht via Web erhältlich.
Bild: Apple.
Die Sicherheitslücke betrifft laut Apple ausschließlich macOS High Sierra, ältere Betriebssysteme sind davon nicht betroffen.
Nachtrag (18:00 Uhr): Apple hat sich in einer Stellungnahme bei allen Mac-Usern für den Fehler entschuldigt. Das Unternehmen will nun den Entwicklungsprozess einer Überprüfung unterziehen, damit sich derartige Fehler in Zukunft nicht wiederholen.
"Security is a top priority for every Apple product, and regrettably we stumbled with this release of macOS. [...] We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again", so der Originalwortlaut des an US-Medien verschickten Statements.
2. Nachtrag (19:45 Uhr): Das Sicherheitsupdate 2017-001 für macOS High Sierra kann inzwischen auch via Web heruntergeladen werden.
3. Nachtrag (30. November): Probleme mit File-Sharing-Funktion: Apple verteilt Sicherheitsupdate für macOS High Sierra erneut.