Apple gewährt ohne Passwort Zugriff auf macOS High Sierra

Der Entwickler Lemi Orhan Ergin hat auf Twitter auf eine gravierende Sicherheitslücke in Apples Betriebssystem macOS High Sierra hingewiesen, mit der Kontrolle über ein System übernommen werden kann, ohne dass dafür die Eingabe eines Passwortes nötig wäre. Kenntnisse sind für das Ausnutzen der Schwachstelle nicht notwendig. Es genügt, wenn beim Login auf dem Startbildschirm oder bei der Abfrage der Nutzer-ID für Änderungen an den Systemeinstellungen "root" als Nutzername eingegeben wird. Abschließend muss noch schnell und mehrfach auf den Unlock-Button gedrückt werden.

Apple hat die Schwachstelle bestätigt und gleichermaßen zu Protokoll geben, dass bereits an einer Behebung der Sicherheitslücke gearbeitet werde, die vermutlich daraus resultiert, dass anders als bei den vorangegangenen macOS-Versionen das Adinistrator-Konto nicht mehr standardmäßig de-, sondern nun aktiviert ist. Dass der im Zweifelsfall unberechtigte Zugriff so einfach gewährt wird, liegt schließlich an einem Bug in der Rechteverwaltung.

Wer sich nicht bis zu einer Fehlerbehebung durch Apple gedulden will, kann einfach ein Passwort für das Administrator-Konto vergeben. Dazu genügt es folgende Zeile im Terminal einzugeben:

sudo passwd -u root

Das System verlangt anschließend die Eingabe des Passworts des aktuellen Nutzers, der im folgenden Schritt das Administrator-Passwort festlegen kann. Nach Abschluss der Prozedur ist der Rechner zumindest an dieser Stelle nicht mehr angreifbar. Ein einfaches Deaktivieren des Root-Kontos genügt hingegen nicht, dann lässt sich die Schwachstelle weiterhin ausnutzen.

Erstelle einen neuen Thread im News-Forum über dieses Thema
1 Kommentar
Im Forum kommentieren
    Dein Kommentar
  • KristofC
    Apple hat inzwischen ein entsprechendes Update herausgebracht. Ich habe die Aktualisierung soeben über den Apple Store installiert.
    0