Fette Passwortlücke in macOS High Sierra

Apple ist in dem im September 2017 freigegebenen macOS High Sierra ein fetter Bug unterlaufen: Die Anmeldung an einem Benutzerkonto mit root-Berechtigungen ist mit einem leeren Passwort möglich.


Anzeige

Entwickler Lemi Orhan Ergin hat diese Lücke gerade erst entdeckt. Dritte mit physischem Zugriff auf ein mac OS-Gerät können auf persönliche Dateien oder Systemdateien zugreifen, ohne dass er Administrator-Zugangsdaten benötigt. Der Hintergrund ist, dass das Administratorkonto ein leeres Kennwort zulässt.

Betroffen sind Systeme, wo das Gastkonto nicht deaktiviert und das Kennwort für den root-Zugriff nicht geändert wurde. Denn standardmäßig ist dieses Kennwort leer, so dass die meisten der typischen Mac-Besitzer genau in dieser Falle sitzen. Entwickler Lemi Orhan Ergin hat öffentlich bei Apple über Twitter nachgefragt, wie die Lücke gesehen wird.

War aus zwei Gründen wohl ungeschickt. Nun ist die Geschichte öffentlich – und bei einer Meldung im Bug-Bounty-Programm hätte er möglicherweise eine Prämie bekommen. Wie dem aus sei, bei 9to5.mac hat Apple eine Stellungnahme abgegeben:

"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section."

Die Botschaft: Apple arbeitet an einem Software-Update, der das beseitigen wird. Der Workaround ist einfach: Man muss einfach ein Kennwort für den Root Benutzer setzen, damit ein Kennwort abgefragt wird. Wie dies funktioniert, ist im verlinkten Apple-Dokument sowie bei 9to5.mac nachzulesen.

Fix ist da (siehe auch Kommentare). Was man wissen sollte, findet sich im Artikel macOS High Sierra Sicherheitsupdate (mac OS 10.13.1)


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter macOS X, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

7 Antworten zu Fette Passwortlücke in macOS High Sierra

  1. Thomas sagt:

    auf einem Macbook air funktioniert der Trick mit "root" nicht..
    kann das daran liegen das es einen Acc. namens Administrator gibt und der mit pw versehen wurde?
    oder wird h.sierra für verschiedene Devices in anderen Versionen bereitgestellt?!?

  2. Grendelbox sagt:

    Der Fix für 10.13 ist raus…

    bitte ASAP "Sicherheits-Update 2017-001" im App Store installieren

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.