ifun.de — Apple News seit 2001. 31 482 Artikel

Offen wie ein Scheunentor

Sicherheits-GAU in macOS High Sierra: „root“-Login mit leerem Password möglich

112 Kommentare 112

Eine massive Sicherheitslücke in Apples aktuellem Desktop-Betriebssystem dürfte zur Stunde nicht nur Cupertinos Entwickler und Manager in Aufregung versetzen, sondern auch zahlreiche Systemadministratoren in Schulen, Banken, Unternehmen und Universitäten um den Schlaf bringen.

Root Klick

Anders als viele der bislang bekannt gewordenen, gravierenden Schwachstellen von macOS High Sierra 10.13 – aus dem Stegreif fallen uns das Passwort-Debakel des Festplattendienstprogramms und der kennwortfreie Schlüsselbundzugriff ein – wurde das Zero-Day-Exploit nicht auf vertraulichem Wege an Apple übermittelt und bereits behoben, sondern auf dem Kurznachrichtenportal Twitter veröffentlicht.

„root“-Login mit leerem Password

So ist dem Software-Entwickler Lemi Orhan Ergin‏ aufgefallen, dass macOS High Sierra die Autorisierung des „root“-Nutzers mit einem leeren Passwort einfach abnickt – man muss es einfach nur versuchen.

Ein schwerwiegender Bug, den ihr einfach selbst nachvollziehen könnt. Öffnet die Systemeinstellungen, wählt hier den Bereich „Benutzer & Gruppen“ und klickt dort auf das Vorhängeschloss unten rechts im Fenster.

Anstatt die Autorisierung nun mit einem eurer vorhandenen Nutzer-Accounts durchzuführen wählt ihr den Benutzer „root“, lasst das Passwortfeld leer (klickt dieses aber einmal an) und versucht anschließend den Button „Schutz aufheben“ zu aktivieren. macOS High Sierra lässt euch nun einfach gewähren lassen. WTF?

Selbst Fernzugriff möglich

Ersten Erkenntnissen aus der Developer-Community nach, erstellt macOS High Sierra beim Absenden des oben beschriebenen Login-Formulars einen root-Account ohne zugewiesenes Passwort und räumt diesem die volle Kontrolle über das System ein. Ein Bug, der sich auch nach einer Remote-Verbindung zu entfernten Rechnern ausnutzen lässt.

Selbsthilfe bis Apple nachlegt

Da Cupertino selbst – aktuell noch bis über beide Ohren mit der Fehlerbehebung von iOS 11 beschäftigt – wohl einige Zeit benötigen wird, ehe die Schwachstelle mit einem „Update außer der Reihe“ adressiert werden kann, seid ihr gut damit beraten selbst Hand an verwundbare Systeme zu legen.

Erste Tipps gibt Apple bereits in dem frisch veröffentlichten Support-Dokument HT204012.

Hier bietet sich zum einen die Deaktivierung des Gastnutzer-Accounts an, zum anderen solltet ihr dem vom System erstellten „root“-Account ein starkes Passwort zuweisen. Öffnet dazu die „Verzeichnisdienste“ („Systemeinstellungen“ > „Benutzer & Gruppen“ > Anmeldeoptionen > „Netzwerkaccount-Server verbinden…“ > „Verzeichnisdienst öffnen“), klickt auf das Vorhängeschloss und wählt dann aus dem Verzeichnisdienste-Menü „Bearbeiten“ > „root-Passwort ändern…“. Macht dies am besten jetzt!

Root Pw

Derzeit scheint der Fehler nicht nur in der aktuellen Betriebssystemversion macOS High Sierra 10.13.1 sondern auch in der aktuellen Beta von 10.13.2 vorhanden zu sein und gestattet unberechtigten Anwendern den Vollzugriff auf alle Inhalte entsprechender Systeme.

Mit Dank an Daniel, Stephan und Vio!

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
28. Nov 2017 um 23:31 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    112 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    112 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 31482 Artikel in den vergangenen 7310 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2021 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven