Apple ist in dem im September 2017 freigegebenen macOS High Sierra ein fetter Bug unterlaufen: Die Anmeldung an einem Benutzerkonto mit root-Berechtigungen ist mit einem leeren Passwort möglich.
Anzeige
Entwickler Lemi Orhan Ergin hat diese Lücke gerade erst entdeckt. Dritte mit physischem Zugriff auf ein mac OS-Gerät können auf persönliche Dateien oder Systemdateien zugreifen, ohne dass er Administrator-Zugangsdaten benötigt. Der Hintergrund ist, dass das Administratorkonto ein leeres Kennwort zulässt.
Betroffen sind Systeme, wo das Gastkonto nicht deaktiviert und das Kennwort für den root-Zugriff nicht geändert wurde. Denn standardmäßig ist dieses Kennwort leer, so dass die meisten der typischen Mac-Besitzer genau in dieser Falle sitzen. Entwickler Lemi Orhan Ergin hat öffentlich bei Apple über Twitter nachgefragt, wie die Lücke gesehen wird.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28. November 2017
War aus zwei Gründen wohl ungeschickt. Nun ist die Geschichte öffentlich – und bei einer Meldung im Bug-Bounty-Programm hätte er möglicherweise eine Prämie bekommen. Wie dem aus sei, bei 9to5.mac hat Apple eine Stellungnahme abgegeben:
Anzeige
"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section."
Die Botschaft: Apple arbeitet an einem Software-Update, der das beseitigen wird. Der Workaround ist einfach: Man muss einfach ein Kennwort für den Root Benutzer setzen, damit ein Kennwort abgefragt wird. Wie dies funktioniert, ist im verlinkten Apple-Dokument sowie bei 9to5.mac nachzulesen.
Fix ist da (siehe auch Kommentare). Was man wissen sollte, findet sich im Artikel macOS High Sierra Sicherheitsupdate (mac OS 10.13.1)
Anzeige
auf einem Macbook air funktioniert der Trick mit "root" nicht..
kann das daran liegen das es einen Acc. namens Administrator gibt und der mit pw versehen wurde?
oder wird h.sierra für verschiedene Devices in anderen Versionen bereitgestellt?!?
update:
auf einem Mac Book Pro geht funktioniert es hingegen.
Du hast es ja beantwortet – wer ein Kennwort für den Root User vergibt, ist sicher.
ne, ich habe ein Kennwort für das Konto Administrator vergeben
nicht Root.
Ich dachte immer das der Apfel es genau nimmt was die Bezeichung, groß und kleinschreibung angeht..
Sollte so sein, da der Unterbau ja ..nixartig ist.
Der Fix für 10.13 ist raus…
bitte ASAP "Sicherheits-Update 2017-001" im App Store installieren
Danke für die Info.