2017-2143: macOS High Sierra: Eine Schwachstelle ermöglicht die komplette Kompromittierung des Systems

Historie:

Version 1 (2017-11-29 12:56)

Neues Advisory

Version 2 (2017-11-29 18:52)

Apple hat mit der Veröffentlichung des Sicherheitshinweises APPLE-SA-2017-11-29-1 zu der Schwachstelle CVE-2017-13872 nun das Security Update 2017-001 für macOS High Sierra 10.13.1 bereitgestellt und weist nochmals daraufhin, dass macOS Sierra 10.12.6 und frühere Versionen nicht von der Schwachstelle betroffen sind.

Betroffene Software

Systemsoftware

Betroffene Plattformen

Apple

Beschreibung:

Eine Schwachstelle in macOS High Sierra bis einschließlich Version 10.13.1 ermöglicht einem lokalen, einfach authentisierten Benutzer, als Angreifer, die Erweiterung seiner Privilegien hin zu Root-Rechten. Die Schwachstelle basiert auf der fehlerhaften Absicherung des Root-Accounts und der Akzeptanz eines leeren Passwortfeldes.

Da der Entdecker der Schwachstelle diese öffentlich gemacht hat, geht von der Schwachstelle eine hohe Gefährdung aus. Ein Sicherheitsupdate stellt der Hersteller bisher nicht zur Verfügung, empfiehlt als Workaround allerdings das Aktivieren des Root-Accounts und die Vergabe eines Passwortes für diesen. Sofern der Root-Account bereits zuvor aktiviert wurde, sollte überprüft werden, ob für diesen jetzt tatsächlich ein Passwort gesetzt ist und dieses ggf. geändert werden.

Schwachstellen:

CVE-2017-13872

Schwachstelle in Directory Utility ermöglicht komplette Systemübernahme

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.