Abo
  • Services:

Privilege Escalation: MacOS High Sierra ermöglicht Root-Anmeldung ohne Passwort

Schon wieder ein kritischer Fehler in MacOS High Sierra: Angreifer können sich auf einem entsperrten PC als Administrator einloggen, ohne ein Passwort zu kennen. Es gibt bislang keinen Patch, aber einen einfachen Workaround.

Artikel veröffentlicht am ,
Benutzeranmeldungung MacOS
Benutzeranmeldungung MacOS (Bild: Alexander Merz/Golem.de)

Eine kritische Sicherheitslücke in MacOS High Sierra ermöglicht eine einfache Rechteausweitung nicht-privilegierter Nutzeraccounts. Dazu muss nur an einem bereits entsperrten Gerät versucht werden, in der Nutzerverwaltung auf ein Administratorkonto zuzugreifen. Der Fehler wurde zunächst auf Twitter vom Entwickler Lemi Ergin berichtet.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. Lidl Digital, Neckarsulm

In den Systemeinstellungen muss erst der Punkt "Nutzer & Gruppen" ausgewählt und dann das Schlosssymbol betätigt werden, um Änderungen durchführen zu können. Versuchen Nutzer sich dann einzuloggen, reicht es, "root" als Benutzername einzutragen, das Passwortfeld kann leer gelassen werden. Es ist jedoch notwendig, einmal mit dem Mauszeiger in das Feld zu klicken. Nach mehrmaligem Drücken des "Entsperren-Buttons" gibt das System dann die erweiterten Berechtigungen frei. Nutzer haben dann Administratorrechte.

Der Bug ermöglicht nach einmaliger Nutzung auch Root-Login

Ist diese Art der Backdoor einmal wie beschrieben eingerichtet, kann sie nach Angaben von Macrumours.com auch beim Login-Prompt genutzt werden. Das Vorgehen ist dabei ähnlich, beim Login-Vorgang muss das Feld "Andere" ausgewählt und dann "root" eingetragen werden.

Der Bug ist von Apple noch nicht offiziell bestätigt. Bisherigen Erkenntnissen zufolge ist er in MacOS High Sierra 10.13.1 und in der aktuellen Betaversion 10.13.2 vorhanden. Dem Angriff kann recht einfach vorgebeugt werden: Wer einen Root-Account mit einem Passwort einrichtet, ist von dem Fehler nicht betroffen.

Der Fehler ist nicht der erste sicherheitsrelevante Bug in MacOS High Sierra. Wurde ein Passwort für Partitionen mit dem neuen Dateisystem APFS vergeben, konnte dieses durch Klick auf den Passworthinweis einfach angezeigt werden. Darüber hinaus können Apps unter bestimmten Voraussetzungen auf den Schlüsselbund des Betriebssystems zugreifen. Auch Apples neues Feature "Secure Kernel Extension Loading" war zunächst für Angriffe anfällig.

Nachtrag vom 29. November 2017, 9:19 Uhr

Apple hat sich mittlerweile zu dem Fehler geäußert. Ein Sprecher sagte: "Wir arbeiten an einem Software-Update, um dieses Problem zu beheben." Einen konkreten Termin nennt das Unternehmen nicht. Apple empfiehlt als vorläufige Fehlerbehebung ebenfalls, einen Root-Account mit Passwort zu versehen.



Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. 399€ (Vergleichspreis ab 467€)

Teebecher 30. Nov 2017

Du willst wirklich FTP verwenden, und redest gleichzeitig von Sicherheit? RDP braucht...

charlemagne 30. Nov 2017

Die Paranoia empfiehlt sich für den Benutzer. Denn Programmierer nehmen es...

Iruwen 29. Nov 2017

https://i.imgur.com/nxy5iBd.jpg https://forums.developer.apple.com/thread/79235 Hat in...

chrisBonX 29. Nov 2017

Das "root"-Konto ist danach wieder deaktiviert und der Bug scheint behoben.

quasides 29. Nov 2017

war damals eines der ersten sachen die ich probiert hab. wenns eine sperre gibt schaust...


Folgen Sie uns
       


Amazons Fire TV Stick 4K - Test

Im Test konnte uns Amazons Fire TV Stick 4K überzeugen. Vor allem die neu gestaltete Fernbedienung macht die gesamte Nutzung wesentlich komfortabler. Damit ist der Fire TV Stick 4K auch für Nutzer interessant, die noch keinen 4K-Fernseher besitzen. Amazon verkauft den Fire TV Stick 4K für 60 Euro.

Amazons Fire TV Stick 4K - Test Video aufrufen
Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

Autonome Schiffe: Und abends geht der Kapitän nach Hause
Autonome Schiffe
Und abends geht der Kapitän nach Hause

Weite Reisen in ferne Länder, eine Braut in jedem Hafen: Klischees über die Seefahrt täuschen darüber hinweg, dass diese ein Knochenjob ist. Doch in wenigen Jahren werden Schiffe ohne Besatzung fahren, überwacht von Steuerleuten, die nach dem Dienst zur Familie zurückkehren. Daran arbeitet etwa Rolls Royce.
Ein Bericht von Werner Pluta

  1. Elektromobilität San Francisco soll ein Brennstoffzellenschiff bekommen
  2. Yara Birkeland Autonome Schiffe sind eine neue Art von Transportsystem
  3. Power Pac Strom aus dem Container für Ozeanriesen

Mars Insight: Nasa hofft auf Langeweile auf dem Mars
Mars Insight
Nasa hofft auf Langeweile auf dem Mars

Bei der Frage, wie es im Inneren des Mars aussieht, kann eine Raumsonde keine spektakuläre Landschaft gebrauchen. Eine möglichst langweilige Sandwüste wäre den beteiligten Wissenschaftlern am liebsten. Der Nasa-Livestream zeigte ab 20 Uhr MEZ, dass die Suche nach der perfekten Langeweile tatsächlich gelang.

  1. Astronomie Flüssiges Wasser auf dem Mars war Messfehler
  2. Mars Die Nasa gibt den Rover nicht auf
  3. Raumfahrt Terraforming des Mars ist mit heutiger Technik nicht möglich

    •  /