Apple hat weitere Einzelheiten zu macOS High Sierra bekannt gegeben. Demnach schließt das neue Betriebssystem mehr als 40 Sicherheitslücken in Komponenten wie Firewall, Sandbox, Kernel, Network Time Protocol, SQLite und den Bibliotheken libc und zlib.
Mehrere dieser Schwachstellen werden als kritisch eingestuft, da sie Angreifern unter Umständen sogenannte Denial-of-Service-Attacken oder das Einschleusen und Ausführen von Schadcode mit Kernel-Zugriffsrechten ermöglichten. Nähere Informationen sind in einem Support-Dokument des Herstellers zu finden. Offen bleibt, ob bzw. welche dieser Sicherheitslücken auch macOS Sierra und OS X El Capitan betreffen – Apple macht dazu keinerlei Angaben. Die beiden älteren Betriebssysteme werden vom Hersteller noch gepflegt, am gestrigen Montag ist jedoch kein Sicherheitsupdate für macOS Sierra und OS X El Capitan erschienen.
Unterdessen warnt der Sicherheitsforscher Patrick Wardle vor einer schwerwiegenden Schwachstelle in macOS High Sierra. Sie soll Hackern den Zugriff auf im Schlüsselbund Keychain gespeicherte Nutzernamen und Passwörter im Klartext ermöglichen. Wardle hat dazu einen Proof-of-Concept entwickelt und als Video dokumentiert. Besonders brisant: Root-Zugriffsrechte sollen dazu nicht erforderlich sein. Angreifer müssen zum Ausnutzen der Lücke eine speziell konzipierte Schadsoftware auf dem Rechner eines Nutzers einschleusen, was via Web oder per E-Mail möglich ist. Wardle hält die Details der Sicherheitslücke unter Verschluss und hat Apple Anfang September darüber in Kenntnis gesetzt. Das Unternehmen hat sich zu der Problematik bislang nicht geäußert. Wardle geht indes davon aus, dass die Schwachstelle demnächst geschlossen wird. Sie betrifft auch macOS Sierra und möglicherweise auch OS X El Capitan. Mac-Anwender können momentan nur eines tun und zwar größte Vorsicht beim Öffnen von Programmen zweifelhafter Herkunft walten lassen.