Apple war über die Lücke in macOS High Sierra schon seit Wochen informiert. Reagiert hatte Cupertino allerdings bekanntlich erst nach einer neuerlichen Kontaktaufnahme des Entdeckers der Schwachstelle – gestern.
Apple hat in einem vermeintlich blitzartig fertig gestellten Notfall-Patch die in macOS High Sierra klaffende Lücke binnen 24 Stunden geschlossen. Vorher konnten Nutzer auf einem entsperrten Mac ganz einfach einen Root-Benutzer anlegen. Wie sich nun zeigt, war Apple über die Schwachstelle bereits vor einer Woche informiert worden. Doch die Kontaktaufnahme erhielt nicht die ihr gebührende Aufmerksamkeit.
Ich konnte es kaum glauben
Anscheinend war die erste Kontaktaufnahme von Entwickler Lemi Orhan, die auf den 23. November datiert, bei Apple versandet, wie er nun in einem Blog-Post ausführt. Darin informierte man Apple darüber, dass man mehr aus Zufall auf die Lücke gestoßen war, als man versuchte, einen Mitarbeiter wieder einzuloggen, der sein Admin-Passwort vergessen hatte. Die Schwachstelle wurde bereits seit dem 13. November in Apple-Supportforen für Entwickler diskutiert. Der Entwickler, laut eigener Aussage weder ein Hacker, noch ein Sicherheitsfachmann, schaute sich das ganze selbst an und fand die Lücke bestätigt. „Ich dachte, ich kann meinen Augen nicht trauen.“
Erst ein Tweet an Apples Support-Account auf Twitter setzte das Räderwerk in Gang und führte zu der später veröffentlichten Entschuldigung, in der es unter anderem hieß, Apple-Kunden hätten besseres verdient. Mit Blick auf die verbummelte Information über eine eminente Lücke in macOS können wir das leider nur unterstreichen.
8 Gedanken zu „macOS-Root-Lücke: Schon seit Wochen in Fachforen diskutiert“
Die Kommentare sind geschlossen.