Abo
  • Services:
Anzeige
Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke

Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet.

Apple hat einen Patch für die Sicherheitslücke veröffentlicht, die Nutzern ermöglicht, einen Root-Nutzer ohne Kennwort anzulegen. Damit reagiert das Unternehmen weniger als einen Tag nach Meldung des Problems bei Twitter.

Anzeige

Der Fehler tritt auf, wenn ein Nutzer mit Adminrechten in der Benutzerverwaltung Änderungen vornehmen will. Im erscheinenden Loginfeld muss dann "root" als Benutzername eingetragen werden, das Passwortfeld kann leer bleiben, muss jedoch einmal mit dem Mauszeiger angeklickt werden. Beim ersten Klick auf "Sperre aufheben" wird dann im Hintergrund ein Root-Account erstellt, der kein Passwort hat. Mit einem zweiten Klick wird dann der Login vorgenommen.

Ist der so erstellte Root-Account einmal vorhanden, kann der Login ohne Passwort auch bei der Anmeldung und auch nach einem Reboot vorgenommen werden. Unter bestimmten Voraussetzungen ist es sogar möglich, den Bug über die Fernverwaltung von MacOS High Sierra auszunutzen. Apple bezeichnet den Fehler als "Logikfehler in der Validierung der Anmeldedaten".

Workaround ist bald nicht mehr notwendig

Nutzer können sich schützen, indem sie den Root-Benutzer mit einem individuellen Kennwort versehen. Aus Sicherheitsgründen ist es aber eigentlich ratsam, keinen solchen Account auf dem Rechner zu haben. Nachdem das Update von Apple eingespielt wurde, kann der eigens angelegte Account also wieder entfernt werden.

Zwischenzeitlich warnte auch das BSI vor der Sicherheitslücke. Dort wird sie aber offenbar falsch bewertet. Denn im Statement der Behörde heißt es: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die explizite Vergabe eines starken Passworts für den root-Account betroffener Apple-Computer. Daneben sollten auch passwortgeschützte Apple-Computer nicht unbeaufsichtigt gelassen werden." Tatsächlich ist ein passwortgeschützter und gesperrter Mac-Rechner aber nicht von der Sicherheitslücke betroffen, wenn der Root-Zugang nicht vorher angelegt wurde.

Die Veröffentlichung der Sicherheitslücke auf Twitter hatte auch für Kontroversen gesorgt, weil die Regeln des Responsible Disclosure nicht eingehalten wurden.


eye home zur Startseite
Philly62 30. Nov 2017

Bin ich der einzige bei dem der Bug nicht funktioniert, obwohl ich High Sierra habe und...

seven83 30. Nov 2017

Schnell reagiert? Der Fehler war seit dem 13.11.2017 im Developer Forum als Eintrag...

Der Supporter 30. Nov 2017

Ein Klassiker, würde ich sagen.

JohannesKn 30. Nov 2017

Ists nicht seit Windows 7 das Administrator Konto standartmäßig deaktiviert...

chrisBonX 29. Nov 2017

Der Fehler trat auch auf, wenn ein Nutzer *ohne* Adminrechte dies versucht hat ;-)



Anzeige

Stellenmarkt
  1. Travian Games GmbH, München
  2. ESCRYPT GmbH - Embedded Security, Bochum
  3. STAUFEN.AG, Köngen
  4. ESCRYPT GmbH, Bochum


Anzeige
Hardware-Angebote
  1. täglich neue Deals

Folgen Sie uns
       


  1. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  2. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  3. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  4. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  5. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  6. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  7. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G

  8. Lebensmittel-Lieferservices

    Für Berufstätige auf dem Lande oft "praktisch nicht nutzbar"

  9. Fertigungstechnik

    Intel steckt Kobalt und 4,5 Milliarden US-Dollar in Chips

  10. Homepod im Test

    Smarter Lautsprecher für den Apple-affinen Popfan



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: Finde ich gut

    bombinho | 22:35

  2. Re: Strahlung und so ;)

    SanderK | 22:34

  3. Re: Besteht denn abseits von Großstadt-Hipstern...

    xxsblack | 22:24

  4. Re: Klangvergleich zu echten Lautsprechern?

    don.redhorse | 22:23

  5. Re: Das kann nicht in D klappen

    blaub4r | 22:21


  1. 18:27

  2. 18:09

  3. 18:04

  4. 16:27

  5. 16:00

  6. 15:43

  7. 15:20

  8. 15:08


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel