Vor wenigen Minuten berichteten wir noch von einer Sicherheitslücke in macOS High Sierra. Bei dem schwerwiegenden Fehler wurde statt des Passworthinweises das echte Passwort ausgegeben. Zudem gibt es einige andere Probleme im Zusammenhang mit APFS, die Apple jetzt teilweise adressiert hat.
macOS High Sierra wurde erst vergangene Woche veröffentlicht, trotz langer Beta muss Apple auch hier bereits eine Woche nach Release erheblich nachbessern. Zusätzlich gibt es zum heute gemeldeten Sicherheitsleck auch noch einen eigenen Support-Eintrag.
Releasenotes des macOS High Sierra Update
macOS High Sierra 10.13 Supplemental Update
Released October 5, 2017
StorageKit
Available for: macOS High Sierra 10.13
Impact: A local attacker may gain access to an encrypted APFS volume
Description: If a hint was set in Disk Utility when creating an APFS encrypted volume, the password was stored as the hint. This was addressed by clearing hint storage if the hint was the password, and by improving the logic for storing hints.
CVE-2017-7149: Matheus Mariano of Leet Tech
Security
Available for: macOS High Sierra 10.13
Impact: A malicious application can extract keychain passwords
Description: A method existed for applications to bypass the keychain access prompt with a synthetic click. This was addressed by requiring the user password when prompting for keychain access.
CVE-2017-7150: Patrick Wardle of Synack
New downloads of macOS High Sierra 10.13 include the security content of the macOS High Sierra 10.13 Supplemental Update.
Hier noch die passende Folge des Apfeltalk Editor’s Podcast zum Thema (Public) Beta