Apples erstes Software-Update für El Capitan, Version 10.11.1 hatte es in sich für Admins und Support-Mitarbeiter. Liest man sich die Informationen zum Sicherheitsinhalt durch, die Apple hier bereitgestellt hat (https://support.apple.com/de-de/HT205375), steht dort unter dem letzten Punkt:
SecurityAgent
Verfügbar für: OS X El Capitan 10.11
Auswirkung: Ein Schadprogramm kann programmatisch Aufforderungen der Schlüsselbundverwaltung steuern
Beschreibung: Es bestand eine Methode für Programme, bei Schlüsselbund-Aufforderungen synthetische Klicks zu erzeugen. Dieses Problem wurde behoben, indem synthetische Klicks für Fenster der Schlüsselbundverwaltung deaktiviert wurden.
CVE-ID
CVE-2015-5943
Schön und gut, sollte man meinen, Apple hat also eine weitere Schwachstelle ausgeräumt. Konkret ging es darum, dass Schadsoftware bekannt geworden war, die die genaue Position von Dialogfeldern auf dem Computerbildschirm ausfindig machen und selbst betätigen konnte, also z.B. selbständig auf ‚OK‘ klicken.
Apple hat diese Lücke in OS X 10.11.1 mit Fokus auf Warnmeldungen des Schlüsselbundes geschlossen, ist allerdings möglicherweise über das Ziel hinausgeschossen: Die Schlüsselbundverwaltung erlaubt seither nur noch Eingaben von verifizierten Eingabegeräten. Ein per Remote-Sitzung mit Apple Remote Desktop, Bildschirmfreigabe oder TeamViewer verbundener Anwender (typischerweise ein Administrator oder Support-Mitarbeiter) zählt nicht dazu. An einem Mac mit OS X 10.11.1 werden sämtliche entfernte Eingaben in Schlüsselbund-Dialogfenstern oder auch in der Schlüsselbundverwaltung ignoriert! Übrigens selbst dann, wenn ein Anwender lokal vor dem Rechner sitzt und auf Anweisung des remote zugeschalteten Support-Mitarbeiters auf das Feld klicken will. Im System.log erscheint dann folgende Fehlermeldung:
SecurityAgent: Ignoring User action since the dialog has received events from an untrusted source
Wie Apple sich zukünftig die Administration eines Macs mit OS X 10.11.1 in einer entfernten Co-Location ohne physikalischen Zugriff vorstellt, ist mir schleierhaft.
Referenzen:
https://discussions.apple.com/thread/7305746?start=0&tstart=0
Update: Mittlerweile hat Apple das Problem gelöst.