Abo
  • IT-Karriere:

MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet.

Artikel veröffentlicht am ,
Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

Apple hat einen Patch für die Sicherheitslücke veröffentlicht, die Nutzern ermöglicht, einen Root-Nutzer ohne Kennwort anzulegen. Damit reagiert das Unternehmen weniger als einen Tag nach Meldung des Problems bei Twitter.

Stellenmarkt
  1. Deutsches Krebsforschungszentrum (DKFZ), Heidelberg
  2. CSB-SYSTEM AG, Geilenkirchen

Der Fehler tritt auf, wenn ein Nutzer mit Adminrechten in der Benutzerverwaltung Änderungen vornehmen will. Im erscheinenden Loginfeld muss dann "root" als Benutzername eingetragen werden, das Passwortfeld kann leer bleiben, muss jedoch einmal mit dem Mauszeiger angeklickt werden. Beim ersten Klick auf "Sperre aufheben" wird dann im Hintergrund ein Root-Account erstellt, der kein Passwort hat. Mit einem zweiten Klick wird dann der Login vorgenommen.

Ist der so erstellte Root-Account einmal vorhanden, kann der Login ohne Passwort auch bei der Anmeldung und auch nach einem Reboot vorgenommen werden. Unter bestimmten Voraussetzungen ist es sogar möglich, den Bug über die Fernverwaltung von MacOS High Sierra auszunutzen. Apple bezeichnet den Fehler als "Logikfehler in der Validierung der Anmeldedaten".

Workaround ist bald nicht mehr notwendig

Nutzer können sich schützen, indem sie den Root-Benutzer mit einem individuellen Kennwort versehen. Aus Sicherheitsgründen ist es aber eigentlich ratsam, keinen solchen Account auf dem Rechner zu haben. Nachdem das Update von Apple eingespielt wurde, kann der eigens angelegte Account also wieder entfernt werden.

Zwischenzeitlich warnte auch das BSI vor der Sicherheitslücke. Dort wird sie aber offenbar falsch bewertet. Denn im Statement der Behörde heißt es: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die explizite Vergabe eines starken Passworts für den root-Account betroffener Apple-Computer. Daneben sollten auch passwortgeschützte Apple-Computer nicht unbeaufsichtigt gelassen werden." Tatsächlich ist ein passwortgeschützter und gesperrter Mac-Rechner aber nicht von der Sicherheitslücke betroffen, wenn der Root-Zugang nicht vorher angelegt wurde.

Die Veröffentlichung der Sicherheitslücke auf Twitter hatte auch für Kontroversen gesorgt, weil die Regeln des Responsible Disclosure nicht eingehalten wurden.



Anzeige
Hardware-Angebote

Philly62 30. Nov 2017

Bin ich der einzige bei dem der Bug nicht funktioniert, obwohl ich High Sierra habe und...

seven83 30. Nov 2017

Schnell reagiert? Der Fehler war seit dem 13.11.2017 im Developer Forum als Eintrag...

Der Supporter 30. Nov 2017

Ein Klassiker, würde ich sagen.

JohannesKn 30. Nov 2017

Ists nicht seit Windows 7 das Administrator Konto standartmäßig deaktiviert...

chrisBonX 29. Nov 2017

Der Fehler trat auch auf, wenn ein Nutzer *ohne* Adminrechte dies versucht hat ;-)


Folgen Sie uns
       


Linksabbiegen mit autonomen Autos - Bericht

In Braunschweig testet das DLR an zwei Ampeln die Vernetzung von automatisiert fahrenden Autos und der Verkehrsinfrastruktur.

Linksabbiegen mit autonomen Autos - Bericht Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

OKR statt Mitarbeitergespräch: Wir müssen reden
OKR statt Mitarbeitergespräch
Wir müssen reden

Das jährliche Mitarbeitergespräch ist eines der wichtigsten Instrumente für Führungskräfte, doch es ist gerade in der IT-Branche nicht mehr unbedingt zeitgemäß. Aus dem Silicon Valley kommt eine andere Methode: OKR. Sie erfüllt die veränderten Anforderungen an Agilität und Veränderungsbereitschaft.
Von Markus Kammermeier

  1. Arbeit Hilfe für frustrierte ITler
  2. IT-Arbeitsmarkt Jobgarantie gibt es nie
  3. IT-Fachkräftemangel Freie sind gefragt

    •  /