Forum

Re: Apple und die Sicherheit
Antwort #721: November 29, 2017, 10:08:50
Uiuiui, das ist eine ganz üble Lücke.

Was programmieren die da?
Ich kann ja verstehen, wenn ein ganz ausgefuchster Angriff eine kaum zu erkennende Sicherheitslücke ausnutzt. Das lässt sich mit Sicherheit nie vermeiden.
Aber das hier ist ja ein ganz übler Schnitzer. Wie kann es möglich sein, dass ein root-Zugang ohne Eingabe des Kennwortes akzeptiert wird? Ist für mich ähnlich schlampig, wie das Kennwort im Hinweisfeld im Klartext einzublenden (Mounten von verschlüsselten APFS-Volumes). Sowas darf nicht passieren.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller
Re: Apple und die Sicherheit
Antwort #722: November 29, 2017, 18:04:39
Die Lücke hat`s sogar in die Nachrichten geschafft.
Das Update ist verfügbar.

Florian

  • Es lebe der König!
Re: Apple und die Sicherheit
Antwort #724: November 30, 2017, 01:09:57
Ein Update führt zum nächsten Update führt zum nächsten Update führt zu…

Zumindest hoffe ich, dass ein Update kommt, denn das Security Update führt zum Nichtfunktionieren des File Sharings.
https://forums.macrumors.com/threads/security-update-2017-001-breaks-file-sharing.2091913/#post-25532877

Umso prickelnder, dass es automatisch installiert wird. Ich wüsste nicht, dies jemals erlaubt zu haben. Steht wahrscheinlich in den High-Sierra-Lizenzbestimmungen.
„…and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.“
https://9to5mac.com/2017/11/29/macos-root-fix/
_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Apple und die Sicherheit
Antwort #725: November 30, 2017, 06:06:37
Ich habe die Installation des Sicherheitsupdates auf drei Macs manuell anschieben müssen.

mbs

Re: Apple und die Sicherheit
Antwort #726: November 30, 2017, 08:34:10
Zumindest hoffe ich, dass ein Update kommt, denn das Security Update führt zum Nichtfunktionieren des File Sharings.

Die lokale Kerberos-Konfiguration kann durch das Update beschädigt werden. Man kann das mit Apples Anleitung schnell reparieren.

Umso prickelnder, dass es automatisch installiert wird.

Man kann es automatisch installieren lassen, wenn man das zulässt, unter "Systemeinstellungen > App Store > Automatisch nach Updates suchen > Systemdatendateien und Sicherheits-Updates installieren". Ist bei einer Neuinstallation Standard.

Diese Einstellung betrifft auch den in macOS eingebauten Virenscanner und die Programmsperrlisten, die alle paar Tage unsichtbar aktualisiert werden.
Re: Apple und die Sicherheit
Antwort #727: November 30, 2017, 08:39:31
Man kann es automatisch installieren lassen, wenn man das zulässt, unter "Systemeinstellungen > App Store > Automatisch nach Updates suchen > Systemdatendateien und Sicherheits-Updates installieren". Ist bei einer Neuinstallation Standard.

Ich habe so meine Zweifel, ob man wirklich selber entscheiden kann, wann was installiert wird.

Ich habe gerade mach nachgeschaut, wenigstens bei einem Rechner ist das, was Du beschreibst angehakt und das Sicherheitsupdate hätte eigentlich automatisch installiert werden müssen.
Hat es aber nicht, ich habe es angeschoben.

mbs

Re: Apple und die Sicherheit
Antwort #728: November 30, 2017, 09:27:11
Ich habe gerade mach nachgeschaut, wenigstens bei einem Rechner ist das, was Du beschreibst angehakt und das Sicherheitsupdate hätte eigentlich automatisch installiert werden müssen.
Hat es aber nicht

Wenn das eingeschaltet ist, heißt das nicht, dass Updates sofort installiert werden, wenn sie zur Verfügung stehen. Das würde auch die Server völlig überlasten.

macOS verwendet eine interne Verhaltensdatenbank, die beobachtet, an welchen Orten (= mit welchen Verbindungen ins Internet) der Rechner von wem wie lange typischerweise benutzt wird. Aufgrund dieser Daten berechnet das System einen günstigen Zeitpunkt nach Updates zu suchen. Wenn man Pech hat, kann sich das System verschätzen und das Update wird dann eine Woche später installiert …

Es ist also richtig, dass man nur entscheiden kann, ob Updates automatisch installiert werden, nicht wann das geschieht.
« Letzte Änderung: November 30, 2017, 09:30:25 von mbs »

mbs

Re: Apple und die Sicherheit
Antwort #729: November 30, 2017, 09:43:47
Wie kann es möglich sein, dass ein root-Zugang ohne Eingabe des Kennwortes akzeptiert wird?

Patrick Wardle hat den Fehler und seine Korrektur inzwischen im Assemblercode analysiert. Kurz zusammengefasst beruht der Fehler auf folgendem Ablauf:

1) Das System erhält den Auftrag, Name und Kennwort des Benutzers "root" zu prüfen.
2) Aus Sicherheitsgründen ist root normalerweise zur Anmeldung gesperrt, was durch den ungültigen Hash-Code "*" im Kennwortfeld des Benutzers-Accounts markiert ist. Bei der Prüfung des Kennworts erkennt macOS diese Sperre aber nicht sofort (noch kein Fehler, aber eine schlechte Design-Entscheidung), sondern ruft standardmäßig ein Unterprogramm auf, das in der Benutzerdatenbank veraltete gespeicherte Hashcodes im "crypt"-Standard routinemäßig in moderne Kennworte nach dem "shadowhash"-Verfahren umschreibt.
3) Nun wird geprüft, ob das Kennwort gültig ist. Im Code wurde jedoch vergessen, das Ergebnis dieser Prüfung auszuwerten! (Das ist der Fehler.)
4) Das Unterprogramm zum Upgrade der Hashcodes setzt fälschlicherweise seine Arbeit fort und will den Kennworteintrag aktualisieren.
5) Da die Kennworte nirgendwo im Klartext gespeichert werden und auch nicht rückermittelt werden können, muss die Aktualisierung des Hashcodes über die einzige Quelle erfolgen, die es gibt, nämlich die gerade erfolgte Eingabe des Benutzers.
6) Aus der Eingabe des Benutzers wird ein moderner Hashcode nach dem shadowhash-Verfahren berechnet und in der Benutzerdatenbank eingetragen.

Das hat folgende Auswirkung:
- Die Anmeldesperre für "root" wird gelöscht.
- Für root wird ein neues Kennwort angelegt, nämlich das, was der Benutzer gerade eingegeben hat. Wenn er nichts eingegeben hat, ist das eben das leere Kennwort …
Re: Apple und die Sicherheit
Antwort #730: November 30, 2017, 09:48:38
Danke für die Beschreibung der Fehlerursache bzw. des -vorganges

3) Nun wird geprüft, ob das Kennwort gültig ist. Im Code wurde jedoch vergessen, das Ergebnis dieser Prüfung auszuwerten! (Das ist der Fehler.)

Das ist also das hauptsächliche Problem. Finde ich haarsträubend.
_______
Was ist die Mehrheit? Mehrheit ist der Unsinn, Verstand ist stets bei wen´gen nur gewesen." -- Schiller

mbs

Re: Apple und die Sicherheit
Antwort #731: November 30, 2017, 11:43:57
Ja, absolut.

Man kann nur spekulieren, aber der Fehler sieht nach einer typischen Programmiersituation aus, wo man eine if-Anweisung auskommentiert, "um mal etwas auszutesten", und dann später vergisst, sie wieder zu aktivieren.

Es zeigt vor allem, dass offenbar keinerlei Code Reviews stattfinden, um die Qualität zu sichern. Gerüchteweise verwendet Apple nur noch "Continuous Integration mit automatisiertem Unit Testing", in der naiven Hoffnung, man könnte durch Testen alle Fehler finden.

Eine so groteske Situation wie die zweifache Falschanmeldung mit dem gleichen Kennwort an einem gesperrten Benutzer-Account dürfte wohl niemand als geplanten Testfall vorgesehen haben …

Florian

  • Es lebe der König!
Re: Apple und die Sicherheit
Antwort #732: November 30, 2017, 14:37:59
Man kann es automatisch installieren lassen, wenn man das zulässt, unter "Systemeinstellungen > App Store > Automatisch nach Updates suchen > Systemdatendateien und Sicherheits-Updates installieren". Ist bei einer Neuinstallation Standard.

Dann ist die von mir zitierte Apple-Info nicht korrekt.

Übrigens, die Schlüsselbund-Lücke, über die jedwede App Zugriff erlangen konnte, wurde auch für die Vorgänger-Systeme gestopft. Das erfährt man einen Monat später.
https://www.heise.de/mac-and-i/meldung/Aeltere-macOS-Versionen-Apple-fixt-heimlich-schwerwiegende-Luecke-im-Schluesselbund-3904759.html

_______
Das Geheimnis des Glücks ist die Freiheit, das Geheimnis der Freiheit aber ist der Mut.
Thukydides
Re: Apple und die Sicherheit
Antwort #734: Dezember 02, 2017, 20:31:39
Es sei völlig unverständlich, dass Apple die zuvor “perfekt erscheinende Balance aus Sicherheit und Komfort” mit iOS 11 plötzlich aufgegeben hat, meint Elcomsoft. Nicht jeder habe Apples “perfektes System” gemocht, Nutzer hätten “geheult”, die Polizei und das FBI hätten sich beschwert – ”und Apple gab auf”:
https://m.heise.de/mac-and-i/meldung/Forensiker-Sicherheit-von-iOS-11-haengt-an-seidenem-Faden-3906833.html
« Letzte Änderung: Dezember 03, 2017, 19:48:31 von radneuerfinder »