Abo
  • Services:
Anzeige
Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke

Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet.

Apple hat einen Patch für die Sicherheitslücke veröffentlicht, die Nutzern ermöglicht, einen Root-Nutzer ohne Kennwort anzulegen. Damit reagiert das Unternehmen weniger als einen Tag nach Meldung des Problems bei Twitter.

Anzeige

Der Fehler tritt auf, wenn ein Nutzer mit Adminrechten in der Benutzerverwaltung Änderungen vornehmen will. Im erscheinenden Loginfeld muss dann "root" als Benutzername eingetragen werden, das Passwortfeld kann leer bleiben, muss jedoch einmal mit dem Mauszeiger angeklickt werden. Beim ersten Klick auf "Sperre aufheben" wird dann im Hintergrund ein Root-Account erstellt, der kein Passwort hat. Mit einem zweiten Klick wird dann der Login vorgenommen.

Ist der so erstellte Root-Account einmal vorhanden, kann der Login ohne Passwort auch bei der Anmeldung und auch nach einem Reboot vorgenommen werden. Unter bestimmten Voraussetzungen ist es sogar möglich, den Bug über die Fernverwaltung von MacOS High Sierra auszunutzen. Apple bezeichnet den Fehler als "Logikfehler in der Validierung der Anmeldedaten".

Workaround ist bald nicht mehr notwendig

Nutzer können sich schützen, indem sie den Root-Benutzer mit einem individuellen Kennwort versehen. Aus Sicherheitsgründen ist es aber eigentlich ratsam, keinen solchen Account auf dem Rechner zu haben. Nachdem das Update von Apple eingespielt wurde, kann der eigens angelegte Account also wieder entfernt werden.

Zwischenzeitlich warnte auch das BSI vor der Sicherheitslücke. Dort wird sie aber offenbar falsch bewertet. Denn im Statement der Behörde heißt es: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die explizite Vergabe eines starken Passworts für den root-Account betroffener Apple-Computer. Daneben sollten auch passwortgeschützte Apple-Computer nicht unbeaufsichtigt gelassen werden." Tatsächlich ist ein passwortgeschützter und gesperrter Mac-Rechner aber nicht von der Sicherheitslücke betroffen, wenn der Root-Zugang nicht vorher angelegt wurde.

Die Veröffentlichung der Sicherheitslücke auf Twitter hatte auch für Kontroversen gesorgt, weil die Regeln des Responsible Disclosure nicht eingehalten wurden.


eye home zur Startseite
Philly62 30. Nov 2017

Bin ich der einzige bei dem der Bug nicht funktioniert, obwohl ich High Sierra habe und...

Themenstart

seven83 30. Nov 2017

Schnell reagiert? Der Fehler war seit dem 13.11.2017 im Developer Forum als Eintrag...

Themenstart

Der Supporter 30. Nov 2017

Ein Klassiker, würde ich sagen.

Themenstart

JohannesKn 30. Nov 2017

Ists nicht seit Windows 7 das Administrator Konto standartmäßig deaktiviert...

Themenstart

chrisBonX 29. Nov 2017

Der Fehler trat auch auf, wenn ein Nutzer *ohne* Adminrechte dies versucht hat ;-)

Themenstart

Kommentieren



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart-Fellbach
  2. RATIONAL AG, Landsberg am Lech
  3. DAKOSY Datenkommunikationssystem AG, Hamburg
  4. Allianz Deutschland AG, Unterföhring


Anzeige
Hardware-Angebote
  1. 59,90€
  2. 849,00€ (UVP € 1.298,99€)

Folgen Sie uns
       


  1. Soziale Medien

    Facebook-Forscher finden Facebook problematisch

  2. Streit um Stream On

    Die Telekom spielt das Uber-Spiel

  3. US-Verteidigungsministerium

    Pentagon forschte jahrelang heimlich nach Ufos

  4. Age of Empires (1997)

    Mit sanftem "Wololo" durch die Antike

  5. Augmented Reality

    Google stellt Project Tango ein

  6. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  7. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  8. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  9. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  10. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
E-Golf auf Tour: Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
E-Golf auf Tour
Reichweitenangst oder: Wie wir lernten, Lidl zu lieben
  1. Fuso eCanter Daimler liefert erste Elektro-Lkw aus
  2. Sattelschlepper Thor ET-One soll Teslas Elektro-Lkw Konkurrenz machen
  3. Einkaufen und Laden Kostenlose Elektroauto-Ladesäulen mit 50 kW bei Kaufland

Alexa-Geräte und ihre Konkurrenz im Test: Der perfekte smarte Lautsprecher ist nicht dabei
Alexa-Geräte und ihre Konkurrenz im Test
Der perfekte smarte Lautsprecher ist nicht dabei
  1. Alexa und Co. Wirtschaftsverband sieht Megatrend zu smarten Lautsprechern
  2. Smarte Lautsprecher Google unterstützt indirekt Bau von Alexa-Geräten
  3. UE Blast und Megablast Alexa-Lautsprecher sind wasserfest und haben einen Akku

4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

  1. Re: Welcher Netzbetreiber ist das denn, der da...

    Infinity2017 | 13:04

  2. Re: Völlig abgekartetes Spiel

    Schnurrbernd | 13:02

  3. Re: Mit der Fritz ins Netz

    Teebecher | 12:58

  4. Re: 16-18km am Tag

    Infinity2017 | 12:57

  5. Re: Dann muss aber auch die Drosselung beim...

    Sandeeh | 12:57


  1. 12:33

  2. 11:38

  3. 10:34

  4. 08:00

  5. 12:47

  6. 11:39

  7. 09:03

  8. 17:47


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel