Root-Lücke in macOS High Sierra: Apple spielt Patch automatisch ein

macOS bringt seit mehreren Hauptversionen eine Funktion mit, die das automatische Einspielen wichtiger Updates erlaubt. Sie ist standardmäßig aktiv, wird von Apple aber äußerst selten eingesetzt. Am Mittwochabend war es wieder soweit: Mit der Aktualisierung für eine peinliche root-Lücke unter macOS 10.13 und 10.13.1.

Option in den Systemeinstellungen

Die Funktion, die Apple hier verwendet, nennt sich "Systemdatendateien und Sicherheits-Updates installieren" – und sie ist über das App-Store-Einstellungsmenü in den Systemeinstellungen zu erreichen. Während App-Updates und macOS-Updates standardmäßig nicht automatisch auf dem Mac landen – der Nutzer muss dies explizit wählen –, ist dies für Sicherheits-Updates vorausgewählt.

Notfallplan für schwerwiegende Lücken

Zuletzt hatte Apple – zumindest soweit bekannt – die Notfalloption bei einem schlimmen Fehler im Unix-Zeitdienst ntpd gezogen. Das war im Jahr 2014 noch unter älteren macOS-Versionen. Nutzer müssen bei automatischen Updates nichts weiter tun – nur etwas Geduld mitbringen, bis der Aktualisierungsvorgang startet. Bei der Root-Lücke bietet sich allerdings an, den Bugfix von Hand anzustoßen, was über die Systemupdate-Funktion in der Mac-App-Store-Anwendung möglich ist.

root-Rechte mit ein paar Klicks

Dienstagnacht war bekanntgeworden, dass macOS High Sierra eine Lücke enthält, mit der sich lokale Nutzer mit ein paar Klicks und ohne Eingabe des Passworts root-Rechte verschaffen können. Apple reagierte schnell mit einem Außer-der-Reihe-Update. Der Konzern hat sich zudem offiziell entschuldigt. Sicherheit sei eine "Top-Priorität" bei jedem Apple-Produkt und man bedauere diesen Fehler sehr. Damit dies nicht nochmal passieren kann, werde man die Entwicklungsprozesse überprüfen. Die Lücke hatte weltweit für Aufsehen und Medienschlagzeilen gesorgt. (bsc)