![\"Root](\"https:\/\/images.ifun.de\/wp-content\/uploads\/2017\/11\/root-klick.gif\")
<\/a><\/p>\nAnders als viele der bislang bekannt gewordenen, gravierenden Schwachstellen von macOS High Sierra 10.13 – aus dem Stegreif fallen uns das Passwort-Debakel<\/a> des Festplattendienstprogramms und der kennwortfreie Schl\u00fcsselbundzugriff<\/a> ein – wurde das Zero-Day-Exploit<\/a> nicht auf vertraulichem Wege an Apple \u00fcbermittelt und bereits behoben, sondern auf dem Kurznachrichtenportal Twitter ver\u00f6ffentlicht.<\/p>\n So ist dem Software-Entwickler Lemi Orhan Ergin\u200f aufgefallen<\/a>, dass macOS High Sierra die Autorisierung des „root“-Nutzers mit einem leeren Passwort einfach abnickt – man muss es einfach nur versuchen.<\/p>\n Ein schwerwiegender Bug, den ihr einfach selbst nachvollziehen k\u00f6nnt. \u00d6ffnet die Systemeinstellungen, w\u00e4hlt hier den Bereich „Benutzer & Gruppen“ und klickt dort auf das Vorh\u00e4ngeschloss unten rechts im Fenster.<\/p>\n Anstatt die Autorisierung nun mit einem eurer vorhandenen Nutzer-Accounts durchzuf\u00fchren w\u00e4hlt ihr den Benutzer „root“, lasst das Passwortfeld leer (klickt dieses aber einmal an) und versucht anschlie\u00dfend den Button „Schutz aufheben“ zu aktivieren. macOS High Sierra l\u00e4sst euch nun einfach gew\u00e4hren lassen. WTF?<\/p>\n Ersten Erkenntnissen<\/a> aus der Developer-Community nach, erstellt macOS High Sierra beim Absenden des oben beschriebenen Login-Formulars einen root-Account ohne zugewiesenes Passwort und r\u00e4umt diesem die volle Kontrolle \u00fcber das System ein. Ein Bug, der sich auch nach einer Remote-Verbindung zu entfernten Rechnern ausnutzen l\u00e4sst.<\/p>\n Da Cupertino selbst – aktuell noch bis \u00fcber beide Ohren mit der Fehlerbehebung von iOS 11<\/a> besch\u00e4ftigt – wohl einige Zeit ben\u00f6tigen wird, ehe die Schwachstelle mit einem „Update au\u00dfer der Reihe“ adressiert werden kann, seid ihr gut damit beraten selbst Hand an verwundbare Systeme zu legen.<\/p>\n Erste Tipps gibt Apple bereits in dem frisch ver\u00f6ffentlichten Support-Dokument HT204012<\/a>.<\/p>\n Hier bietet sich zum einen die Deaktivierung des Gastnutzer-Accounts an, zum anderen solltet ihr dem vom System erstellten „root“-Account ein starkes Passwort zuweisen. \u00d6ffnet dazu die „Verzeichnisdienste“ („Systemeinstellungen“ > „Benutzer & Gruppen“ > Anmeldeoptionen > „Netzwerkaccount-Server verbinden…“ > „Verzeichnisdienst \u00f6ffnen“), klickt auf das Vorh\u00e4ngeschloss und w\u00e4hlt dann aus dem Verzeichnisdienste-Men\u00fc „Bearbeiten“ > „root-Passwort \u00e4ndern…“. Macht dies am besten jetzt!<\/p>\n„root“-Login mit leerem Password<\/h2>\n
Selbst Fernzugriff m\u00f6glich<\/h2>\n
Selbsthilfe bis Apple nachlegt<\/h2>\n