Bereits zum dritten Mal ist im aktuellen Mac-Betriebssystem eine Kennwort-Schwachstelle entdeckt worden. Deren Schweregrad ist zwar eher gering, dennoch wirft sie kein gutes Licht auf Apple – schließlich hatte der Hersteller nach der gravierenden root-Lücke versprochen, den Entwicklungsprozess zu verbessern. Immerhin: In der bald erscheinenden Version 10.13.3 wurde bereits ein Bug-Fix implementiert.

Die jetzt aufgespürte Schwachstelle in macOS 10.13.2 betrifft ausschließlich eingeloggte Admin-Accounts und den App-Store-Bereich in den Systemeinstellungen. Dabei ist wichtig zu wissen: Nach dem Anmelden mit einem Admin-Account ist dieser Bereich in den Systemeinstellungen standardmäßig entsperrt. Wird dieser nun – eingeloggt als Admin - manuell per Klick gesperrt, genügt zum Entsperren die Eingabe eines beliebigen Kennworts.

 

Mit normalen Benutzeraccounts kann kein Zugriff auf die App-Store-Einstellungen erlangt werden. Andere Bereiche der Einstellungen oder des Betriebssystems sind von der Lücke nicht betroffen. Zudem bedarf es des aktiven Zutuns eines eingeloggten Admin-Users. Daher sind die Sicherheitsauswirkungen diesmal wesentlich geringer als Ende letzten Jahres bei der root-Lücke (durch die jeder User komplette Admin-Rechte erlangen konnte). Dennoch darf Apples Entwicklern ein solcher Fehler normalerweise nicht passieren bzw. müsste durch die Qualitätssicherung vor dem Release aufgedeckt werden. Die Diskussion um die Softwarequalität in macOS dürfte dadurch weiter befeuert werden.

Der Bug ist ausschließlich in macOS 10.13.2 zu finden (unabhängig vom Build), macOS 10.13.1, macOS 10.12.6 und ältere Versionen sind nicht betroffen. In der aktuellen Betaversion von macOS 10.13.3 wurde das Problem bereits behoben. Die Fertigstellung von macOS 10.13.3 wird für Mitte oder Ende des Monats erwartet, die Teilnahme am Betatest ist kostenlos möglich.