macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

Eine Sicherheitslücke in macOS High Sierra 10.13.1 (17B48) erlaubt es, sich unbefugten root-Zugriff auf jeden Mac zu verschaffen, der diese Betriebssystemversion einsetzt. Dafür ist nichts weiter nötig, als als Benutzer root einzugeben und das Passwort frei zu lassen.

Die Anmeldung als root auf diese Weise muss unter Umständen mehrfach erfolgen, bis das System freigegeben wird, funktioniert jedoch, wie zahlreiche Nutzer in der Nacht bestätigten, fast immer.

Der Entwickler Lemi Orhan Ergin hatte die Sicherheitslücke gestern am späten Abend auf Twitter veröffentlicht, wofür er nicht nur Zuspruch erhält. Zahlreiche Nutzer des Kurznachrichtendienstes werfen ihm vor, dass Twitter nicht der richtige Weg gewesen sei, um Apple auf diese eklatante Sicherheitslücke hinzuweisen, da sie jeden gegebenenfalls auch sicherheitsrelevanten Mac mit macOS High Sierra einer hohen Gefährdung durch unbefugten Zugriff aussetze. Ein durch die Sicherheitslücke angemeldeter root-Benutzer kann beispielsweise sämtliche kritischen Einstellungen des Mac ändern, Administratoren hinzufügen und den aktuellen Besitzer von seinem eigenen Mac aussperren.

X

An dieser Stelle steht ein externer Inhalt von X, der den Artikel ergänzt und von der Redaktion empfohlen wird. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

X-Embeds laden

Ich bin damit einverstanden, dass X-Embeds geladen werden. Dabei können personen­bezogene Daten an X übermittelt werden. Mehr dazu in der Datenschutzerklärung.

You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs

— Lemi Orhan Ergin (@lemiorhan) November 28, 2017

X-Embeds laden Datenschutzerklärung

Es wird deshalb empfohlen, entsprechende Systeme vor dem unbefugten Zugriff zu schützen, bis Apple ein Update zur Behebung des Problems bereitstellt. Benutzer, die nicht auf das von Apple bereits angekündigte Update warten möchten, können ihr System schützen, indem sie dem root-Account ein eigenes Passwort zuordnen. Dabei sollte es sich um ein sehr starkes Passwort handeln, damit das System ausreichend geschützt ist.

We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/de-de/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.

Apple

Durch folgende Schritte ist es möglich, dem root-Benutzer ein Passwort zuzuordnen:

1. Wählen Sie das Menü „Apple“ () > „Systemeinstellungen“, und klicken Sie anschließend auf „Benutzer & Gruppen“ (oder „Accounts“).
2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
3. Klicken Sie auf „Anmeldeoptionen“.
4. Klicken Sie auf „Verbinden“ (oder „Bearbeiten“).
5. Klicken Sie auf „Verzeichnisdienste öffnen“.
6. Klicken Sie im Fenster „Verzeichnisdienste“ auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
7. Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:
   • Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“, und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
   • Oder wählen Sie „Bearbeiten“ > „root-Passwort ändern“.