Update: Apple pfuscht erneut bei IT-Sicherheit

MacOS High Sierra erlaubt Root-Zugriff ohne Passwort

| Autor / Redakteur: Moritz Jäger / Peter Schmitz

Über eine Schwachstelle in macOS High Sierra kann sich jeder Anwender als Root-Nutzer anmelden. Apple hat ein Update angekündigt.
Über eine Schwachstelle in macOS High Sierra kann sich jeder Anwender als Root-Nutzer anmelden. Apple hat ein Update angekündigt. (Bild: Apple)

Mac-Nutzern steht die nächste kritische Schwachstelle ins Haus. Das Apple-System hat eine Lücke, über die sich jeder Anwender als Root-Nutzer anmelden kann – ein Passwort ist nicht notwendig. Vor allem bei öffentlich zugänglichen Systemen kann dies zu Chaos führen. Einzige Abhilfe ist die manuelle Vergabe eines Root-Kennworts.

Im aktuellen macOS High Sierra hat Apple einige Schnitzer beim Thema Sicherheit abgeliefert. So wurde das Betriebssystem mit einer Zero-Day-Lücke verteilt, danach wurde bekannt, dass sich das Passwort der APFS-Verschlüsselung per Kennworthinweis im Klartext auslesen lies.

Dazu kommt jetzt die nächste Lücke: Das Root-Konto lässt sich ohne Kennwort nutzen. Der Entwickler Lemi Orhan Ergin fand heraus, dass sich jeder als root und ohne anmelden kann, selbst wenn der Account deaktiviert ist.

Wie bei Unix-Systemen üblich hat der Root-Nutzer weitreichende Berechtigungen und kann systemweit Veränderungen am Mac OS vornehmen. Der Trick klappt bei allen Abfragen, die eine freie Eingabe des Nutzernamens erlauben. Aktuell sieht es nicht so aus, als würde sich die Lücke auf einen Remote-Zugriff erstrecken. Allerdings konnten sich einzelne Anwender erfolgreich über die „Bildschirm Teilen“ Funktion als Root anmelden.

Von Apple gibt es bereits ein Statement zu der Sicherheitslücke: “We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here (https://support.apple.com/en-us/HT204012). If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.”

Apple arbeite bereits an einem Software-Update, in der Zwischenzeit sollen Anwender ein eigenes Root-Kennwort vergeben. Apple beschreibt den Vorgang in einem Support-Dokument, schneller geht es aber über das Terminal und die Eingabe des Befehls „sudo passwd root“. MacOS verlangt anschließend ein neues Kennwort für den Account. Es reicht nicht, den Account zu deaktivieren, da er offensichtlich automatisch wieder reaktiviert wird.

Update 30.11.2017: Apple hat inzwischen ein Update für die Sicherheitslücke veröffentlicht und beschreibt in einem Support-Dokument die Details. In einigen Fällen scheinen Anwender nach dem Update Probleme mit dem Filesharing zu bekommen. Apple hat auch für dieses Problem inzwischen einen Workaround beschrieben.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45030567 / Sicherheitslücken)