MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet.

Artikel veröffentlicht am ,
Root-Anmeldung ohne Passwort
Root-Anmeldung ohne Passwort (Bild: Alexander Merz/Golem.de)

Apple hat einen Patch für die Sicherheitslücke veröffentlicht, die Nutzern ermöglicht, einen Root-Nutzer ohne Kennwort anzulegen. Damit reagiert das Unternehmen weniger als einen Tag nach Meldung des Problems bei Twitter.

Stellenmarkt
  1. IT Architect (m/w/d) Managed Services
    Controlware GmbH, Frankfurt am Main
  2. Senior Project Manager (m/w/d)
    CG Car-Garantie Versicherungs-AG, Freiburg
Detailsuche

Der Fehler tritt auf, wenn ein Nutzer mit Adminrechten in der Benutzerverwaltung Änderungen vornehmen will. Im erscheinenden Loginfeld muss dann "root" als Benutzername eingetragen werden, das Passwortfeld kann leer bleiben, muss jedoch einmal mit dem Mauszeiger angeklickt werden. Beim ersten Klick auf "Sperre aufheben" wird dann im Hintergrund ein Root-Account erstellt, der kein Passwort hat. Mit einem zweiten Klick wird dann der Login vorgenommen.

Ist der so erstellte Root-Account einmal vorhanden, kann der Login ohne Passwort auch bei der Anmeldung und auch nach einem Reboot vorgenommen werden. Unter bestimmten Voraussetzungen ist es sogar möglich, den Bug über die Fernverwaltung von MacOS High Sierra auszunutzen. Apple bezeichnet den Fehler als "Logikfehler in der Validierung der Anmeldedaten".

Workaround ist bald nicht mehr notwendig

Nutzer können sich schützen, indem sie den Root-Benutzer mit einem individuellen Kennwort versehen. Aus Sicherheitsgründen ist es aber eigentlich ratsam, keinen solchen Account auf dem Rechner zu haben. Nachdem das Update von Apple eingespielt wurde, kann der eigens angelegte Account also wieder entfernt werden.

Golem Akademie
  1. Microsoft Dynamics 365 Guides mit HoloLens 2: virtueller Ein-Tages-Workshop
    16. Februar 2022, Virtuell
  2. C++ Programmierung Basics: virtueller Fünf-Tage-Workshop
    17.–21. Januar 2022, virtuell
Weitere IT-Trainings

Zwischenzeitlich warnte auch das BSI vor der Sicherheitslücke. Dort wird sie aber offenbar falsch bewertet. Denn im Statement der Behörde heißt es: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt die explizite Vergabe eines starken Passworts für den root-Account betroffener Apple-Computer. Daneben sollten auch passwortgeschützte Apple-Computer nicht unbeaufsichtigt gelassen werden." Tatsächlich ist ein passwortgeschützter und gesperrter Mac-Rechner aber nicht von der Sicherheitslücke betroffen, wenn der Root-Zugang nicht vorher angelegt wurde.

Die Veröffentlichung der Sicherheitslücke auf Twitter hatte auch für Kontroversen gesorgt, weil die Regeln des Responsible Disclosure nicht eingehalten wurden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Philly62 30. Nov 2017

Bin ich der einzige bei dem der Bug nicht funktioniert, obwohl ich High Sierra habe und...

seven83 30. Nov 2017

Schnell reagiert? Der Fehler war seit dem 13.11.2017 im Developer Forum als Eintrag...

Der Supporter 30. Nov 2017

Ein Klassiker, würde ich sagen.

JohannesKn 30. Nov 2017

Ists nicht seit Windows 7 das Administrator Konto standartmäßig deaktiviert...

chrisBonX 29. Nov 2017

Der Fehler trat auch auf, wenn ein Nutzer *ohne* Adminrechte dies versucht hat ;-)



Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. Krypto-Verbot: Panikverkäufe von Krypto-Mininggerät im Kosovo
    Krypto-Verbot
    Panikverkäufe von Krypto-Mininggerät im Kosovo

    Schürfen von Kryptowährungen ist im Kosovo seit kurzem verboten. Mineure versuchen, ihr Equipment oft zu Schleuderpreisen loszuwerden.

  2. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

  3. Großunternehmen: Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen
    Großunternehmen
    Lindner will Mindeststeuer zum 1. Januar 2023 umsetzen

    Bundesfinanzminister Christian Lindner will die Mindeststeuer für Großunternehmen in Deutschland schnell einführen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /