macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac

Frank Hüber 95 Kommentare
macOS High Sierra: Sicherheitslücke erlaubt root-Zugriff auf Mac
Bild: Apple

Eine Sicherheitslücke in macOS High Sierra 10.13.1 (17B48) erlaubt es, sich unbefugten root-Zugriff auf jeden Mac zu verschaffen, der diese Betriebssystemversion einsetzt. Dafür ist nichts weiter nötig, als als Benutzer root einzugeben und das Passwort frei zu lassen.

Die Anmeldung als root auf diese Weise muss unter Umständen mehrfach erfolgen, bis das System freigegeben wird, funktioniert jedoch, wie zahlreiche Nutzer in der Nacht bestätigten, fast immer.

Der Entwickler Lemi Orhan Ergin hatte die Sicherheitslücke gestern am späten Abend auf Twitter veröffentlicht, wofür er nicht nur Zuspruch erhält. Zahlreiche Nutzer des Kurznachrichtendienstes werfen ihm vor, dass Twitter nicht der richtige Weg gewesen sei, um Apple auf diese eklatante Sicherheitslücke hinzuweisen, da sie jeden gegebenenfalls auch sicherheitsrelevanten Mac mit macOS High Sierra einer hohen Gefährdung durch unbefugten Zugriff aussetze. Ein durch die Sicherheitslücke angemeldeter root-Benutzer kann beispielsweise sämtliche kritischen Einstellungen des Mac ändern, Administratoren hinzufügen und den aktuellen Besitzer von seinem eigenen Mac aussperren.

Es wird deshalb empfohlen, entsprechende Systeme vor dem unbefugten Zugriff zu schützen, bis Apple ein Update zur Behebung des Problems bereitstellt. Benutzer, die nicht auf das von Apple bereits angekündigte Update warten möchten, können ihr System schützen, indem sie dem root-Account ein eigenes Passwort zuordnen. Dabei sollte es sich um ein sehr starkes Passwort handeln, damit das System ausreichend geschützt ist.

We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/de-de/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.

Apple

Durch folgende Schritte ist es möglich, dem root-Benutzer ein Passwort zuzuordnen:

  1. Wählen Sie das Menü „Apple“ () > „Systemeinstellungen“, und klicken Sie anschließend auf „Benutzer & Gruppen“ (oder „Accounts“).
  2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
  3. Klicken Sie auf „Anmeldeoptionen“.
  4. Klicken Sie auf „Verbinden“ (oder „Bearbeiten“).
  5. Klicken Sie auf „Verzeichnisdienste öffnen“.
  6. Klicken Sie im Fenster „Verzeichnisdienste“ auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
  7. Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:
    • Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“, und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
    • Oder wählen Sie „Bearbeiten“ > „root-Passwort ändern“.
Update 29.11.2017 20:33 Uhr

Apple stellt ab sofort ein Update (Security Update 2017-001) über den Mac App Store zur Verfügung, das die Lücke in macOS 10.13.1 „High Sierra“ schließt. Die Installation ist ohne Neustart möglich und es wird dringend dazu geraten, kurzfristig zu reagieren. Für Anwender, die in der geschlossenen Beta bereits auf eine Vorschau auf macOS 10.13.2 setzen, gibt es hingegen noch keinen Patch.