Abo
  • Services:

MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet.

Artikel veröffentlicht am ,
Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

Apple hat einen Patch für die Sicherheitslücke veröffentlicht, die Nutzern ermöglicht, einen Root-Nutzer ohne Kennwort anzulegen. Damit reagiert das Unternehmen weniger als einen Tag nach Meldung des Problems bei Twitter.

Stellenmarkt
  1. init SE, Karlsruhe
  2. Daimler AG, Sindelfingen

Der Fehler tritt auf, wenn ein Nutzer mit Adminrechten in der Benutzerverwaltung Änderungen vornehmen will. Im erscheinenden Loginfeld muss dann "root" als Benutzername eingetragen werden, das Passwortfeld kann leer bleiben, muss jedoch einmal mit dem Mauszeiger angeklickt werden. Beim ersten Klick auf "Sperre aufheben" wird dann im Hintergrund ein Root-Account erstellt, der kein Passwort hat. Mit einem zweiten Klick wird dann der Login vorgenommen.

Ist der so erstellte Root-Account einmal vorhanden, kann der Login ohne Passwort auch bei der Anmeldung und auch nach einem Reboot vorgenommen werden. Unter bestimmten Voraussetzungen ist es sogar möglich, den Bug über die Fernverwaltung von MacOS High Sierra auszunutzen. Apple bezeichnet den Fehler als "Logikfehler in der Validierung der Anmeldedaten".

Workaround ist bald nicht mehr notwendig

Nutzer können sich schützen, indem sie den Root-Benutzer mit einem individuellen Kennwort versehen. Aus Sicherheitsgründen ist es aber eigentlich ratsam, keinen solchen Account auf dem Rechner zu haben. Nachdem das Update von Apple eingespielt wurde, kann der eigens angelegte Account also wieder entfernt werden.

Zwischenzeitlich warnte auch das BSI vor der Sicherheitslücke. Dort wird sie aber offenbar falsch bewertet. Denn im Statement der Behörde heißt es: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die explizite Vergabe eines starken Passworts für den root-Account betroffener Apple-Computer. Daneben sollten auch passwortgeschützte Apple-Computer nicht unbeaufsichtigt gelassen werden." Tatsächlich ist ein passwortgeschützter und gesperrter Mac-Rechner aber nicht von der Sicherheitslücke betroffen, wenn der Root-Zugang nicht vorher angelegt wurde.

Die Veröffentlichung der Sicherheitslücke auf Twitter hatte auch für Kontroversen gesorgt, weil die Regeln des Responsible Disclosure nicht eingehalten wurden.



Anzeige
Top-Angebote
  1. 499€ (Bestpreis!)
  2. 569€ (Bestpreis!)
  3. 64,90€ für Prime-Mitglieder (Vergleichspreis 72,88€)
  4. (u. a. LG OLED65W8PLA für 4.444€ statt 4.995€ im Vergleich)

Philly62 30. Nov 2017

Bin ich der einzige bei dem der Bug nicht funktioniert, obwohl ich High Sierra habe und...

seven83 30. Nov 2017

Schnell reagiert? Der Fehler war seit dem 13.11.2017 im Developer Forum als Eintrag...

Der Supporter 30. Nov 2017

Ein Klassiker, würde ich sagen.

JohannesKn 30. Nov 2017

Ists nicht seit Windows 7 das Administrator Konto standartmäßig deaktiviert...

chrisBonX 29. Nov 2017

Der Fehler trat auch auf, wenn ein Nutzer *ohne* Adminrechte dies versucht hat ;-)


Folgen Sie uns
       


Shadow of the Tomb Raider - Golem.de live Teil 2

In Teil 2 des Livestreams zu Shadow of the Tomb Raider finden wir lustige Grafikfehler und der Chat trinkt zu viel Bier, kann Michael aber trotzdem bei einigen Rätseln helfen.

Shadow of the Tomb Raider - Golem.de live Teil 2 Video aufrufen
Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

Galaxy A9 im Hands on: Samsung bietet vier
Galaxy A9 im Hands on
Samsung bietet vier

Samsung erhöht die Anzahl der Kameras bei seinen Smartphones weiter: Das Galaxy A9 hat derer vier, zudem ist auch die restliche Ausstattung nicht schlecht. Aus verkaufspsychologischer Sicht könnte die Einstufung in die A-Mittelklasse bei einem Preis von 600 Euro ein Problem sein.
Ein Hands on von Tobias Költzsch

  1. Auftragsfertiger Samsung startet 7LPP-Herstellung mit EUV
  2. Galaxy A9 Samsung stellt Smartphone mit vier Hauptkameras vor
  3. Galaxy J4+ und J6+ Samsung stellt neue Smartphones im Einsteigerbereich vor

Künstliche Intelligenz: Wie Computer lernen
Künstliche Intelligenz
Wie Computer lernen

Künstliche Intelligenz, Machine Learning und neuronale Netze zählen zu den wichtigen Buzzwords dieses Jahres. Oft wird der Eindruck vermittelt, dass Computer bald wie Menschen denken können. Allerdings wird bei dem Thema viel durcheinandergeworfen. Wir sortieren.
Von Miroslav Stimac

  1. Innotrans KI-System identifiziert Schwarzfahrer
  2. USA Pentagon fordert KI-Strategie fürs Militär
  3. KI Deepmind-System diagnostiziert Augenkrankheiten

    •  /