Apple ist mit seinen letzten Updates für
macOS ein böser Fehler unterlaufen: Während das Sicherheitsupdate vom 29. November eine Schwachstelle behebt, mit der Unbefugte auch ohne Passwort Root-Zugang bekommen konnten, macht das am 1. Dezember erschienene Update die Änderungen wieder zunichte.
Dümmer hätte das gar nicht laufen können. Zunächst stand Apple in der Kritik für eine nicht nur ärgerliche, sondern wirklich schwerwiegende Sicherheitslücke in MacOS, durch die sich quasi jeder auf einem Mac als Root anmelden konnte. Zwar brachte Apple nur kurze Zeit nach dem Bekanntwerden dieses Security-Alptraums schon ein Update heraus - allerdings macht das Unternehmen seine rasche Arbeit auch ebenso rasch wieder zunichte.
Wie unter anderem bei
AppleInsider berichtet wird, wird der am 29. November verteilte Fix für den Root-User-Bug durch das anstehende Update auf macOS High Sierra 10.13.1 ausgehebelt, wenn ein Nutzer von einer alten Version auf 10.13.1 aktualisiert. Das heißt im Grunde, dass die eklatante Sicherheitslücke noch immer aktiv ist, wenn man erst das Update vom 1. Dezember ausführt.
Fehler beim Patch?
Erneute Kritik wird nun laut, dass Apple seine Lösung für den Root-User-Bug mit zu heißen Nadeln gestrickt habe und der Code im Grunde fehlerhaft sei. Mit der erneuten Software-Aktualisierung dürfte ein vorangegangenes Sicherheitsupdate nicht so einfach außer Kraft zu setzen sein, wie es nun anscheinend der Fall ist. Zudem heißt es, dass ein Neustart (der dieses Mal nicht automatisch passiert, also eigentlich nicht zwingend erforderlich sein sollte) das Problem mit dem Patch wieder löst.
Wie AppleInsider schreibt, hilft bei einer erneuten Installation des Security-Patchs vom 29. November nur ein anschließender Neustart, um die Root-Lücke tatsächlich zu schließen, sonst bleibt der Patch inaktiv.
Siehe auch: Apple: MacOS-Lücke gefixt, dafür die Dateifreigabe kaputt gemacht