macOS High Sierra: „root“-Sicherheitslücke wird bekannt – Apple kündigt Bugfix-Update an

| 8:22 Uhr | 2 Kommentare

Update 17:30 Uhr: Apple hat soeben das Sicherheits-Update 2017-001 veröffentlicht und die Sicherheitslücke gestopft. (/Update Ende)

Über Nacht wurde eine macOS High Sierra Sicherheitslücke bekannt, auf die wir euch hinweisen möchten. Apple nennt ein vorübergehendes Workaround, um das Problem zu umgehen und kündigt gleichzeitig ein Bugfix-Update an.

macOS High Sierra: „root“-Sicherheitslücke wird bekannt

Eine massive Sicherheitslücke von macOS High Sierra wurde in den letzten Stunden bekannt, die den ein oder anderen Entwickler in Cupertino sicherlich um den Schlaf bringen dürfte. Apple stellt ein Support-Dokument mit einem Workaround bereit und kündigt gleichzeitig an, dass man mit Hochdruck an einem Sicherheits-Update arbeitet.

Entwickler Leim Orhan Erwin ist aufgefallen, dass es unter macOS High Sierra möglich ist, sich als „root“ einzuloggen und somit Zugriff auf das Gerät zu erlangen. Um das Ganze nachvollziehen zu können, klickt z.B. auf Systemeinstellungen und dann auf „Benutzer & Gruppen“. Anschließend klickt ihr unten links auf das Vorhängeschloss. Nun werdet ihr zur Eingabe eures Benutzernamens und des Passworts aufgefordert. Euren eigentlichen Namen ändert ihr in „root“. Das Passwortfeld lasst ihr frei. Ihr gebt kein Passwort ein, sondern klickt lediglich in das Passwortfeld hinein. Wenn ihr nun „Schutz aufheben“ anklickt, so wird das Vorhängeschloss geöffnet und ihr habt Zugriff..

Wir konnten den Fehler bei uns am MacBook Pro nachvollziehen, allerdings erst beim dritten Versuch. Das selbe Prozedere funktioniert übrigens auch, wenn ihr unter Anmeldeoptionen in den Systemeinstellungen „Anmeldefenster zeigt an „Name und Passwort“ (anstatt Liste der Benutzer) nutzt.

Auch wenn man den physikalischen Zugriff auf Macs besitzen muss, empfinden wir dies als große Sicherheitslücken. So denken wir z.B. an Macs in Unternehmen, wo Mitarbeiter sich auf diese Art und Weise theoretisch und praktisch Administrationsrechte verschaffen können.

Vorübergehendes Workaround – Bugfix-Update angekündigt

Bis zu einer endgültigen Lösung hat Apple ein Support Dokument veröffentlicht, mit dem der Hersteller einer vorübergehende Lösung des Problems anbietet. Apple hat sich mittlerweile zur Materie geäußert und bestätigt, dass man an dem Problem arbeitet. In der Zwischenzeit solltet ihr euch das genannte Support Dokument angucken und den Root-Nutzer aktivieren und ein Passwort vergeben. Solltet ihr bereits ein Root-Nutzer vergeben haben, stellt sicher, dass ihr kein leeres Passwort vergeben hat.

Eine Sicherheitslücke die Apple nicht schmecken dürfte. Wir empfinden es als ein wenig unglücklich, dass der Entwickler nicht auf „seriöse“ Art und Weise an Apple herangetreten ist, um den Mac-Hersteller auf das Problem aufmerksam zu machen. So hätte Apple die Möglichkeit gehabt, das Problem zu beseitigen, bevor es publik wird. Stattdessen nutzte der Entwickler Twitter, um auf den Umstand aufmerksam zu machen. Nun ist Apple am Zuge und muss dringend nachbessern und ein Sicherheits-Update veröffentlichen.

Wie es scheint, sind sowohl macOS High Sierra 10.13.0, 10.13.1 und die aktuelle Beta zu 10.13.2 betroffen.

Kategorie: Mac

Tags:

2 Kommentare

  • Robert

    Böser Fehler – sehr böse! Geht auch Remote!
    Dann ist klar das NSA und Co sich alle was lachen weil sie in alle unsere Rechner reinkommen.

    Buahhhhhh

    29. Nov 2017 | 11:24 Uhr | Kommentieren
  • Mich

    Selber Sculd wenn man sein Netzwerk nicht schüzt und man eben nur billig Router hat 😀

    07. Jan 2018 | 11:21 Uhr | Kommentieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.