News 28.11.2017, 22:23 Uhr

macOS-System High Sierra gewährt «root»-Zugriff ohne Passwort

Das Apple-Betriebssystem macOS High Sierra überrascht durch eine ziemlich ärgerliche Sicherheitslücke. Mit dem Benutzernamen «root» kann ohne Passworteingabe auf das Betriebssystem zugegriffen werden.
Lemi Orhan Ergin hat Apple auf Twitter auf dieses Sicherheitsproblem aufmerksam gemacht.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) November 28, 2017

Carsten Knobloch hat diese Sicherheitslücke in einem YouTube-Video dokumentiert. Er schreibt auch dazu:
Ihr wollt das nachvollziehen? Geht einmal in die Systemeinstellungen und versucht, im Bereich Benutzer etwas zu ändern. Der Admin-Account muss sich autorisieren. Nutzt man aber den Anwender root ohne Passwort – und probiert ein paar Mal, dann ist man drin. Bei mir ging es so: Nicht auf «Schutz aufheben» klicken, sondern einfach mit Return bestätigen.

Gegenmassnahmen

Als Massnahme gegen diese Sicherheitslücke empfiehlt MacRumors, den Root-Zugriff zu aktivieren und aber mit einem Passwort zu versehen.
Apple schreibt dazu in einem Support-Dokument:
Den root-Benutzer aktivieren oder deaktivieren   
  • Wählen Sie das Menü Apple (Apple-Symbol) > Systemeinstellungen und klicken Sie anschliessend auf Benutzer & Gruppen (oder Accounts).   
  • Klicken Sie auf das Schlosssymbol und geben Sie anschliessend den Benutzernamen und das Passwort für einen Administratoraccount ein.   
  • Klicken Sie auf Anmeldeoptionen.   
  • Klicken Sie auf Verbinden (oder Bearbeiten).   
  • Klicken Sie auf Verzeichnisdienste öffnen.   
  • Klicken Sie im Fenster Verzeichnisdienste auf das Schlosssymbol und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein. 
  • Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:      
  • Wählen Sie Bearbeitenroot-Benutzer aktivieren und geben Sie anschliessend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.       
  • Oder wählen Sie Bearbeitenroot-Benutzer deaktivieren.
Update (29.11.2017, 09:30 Uhr):
Apple hat inzwischen Stellung genommen und stellt ein Software-Update in Aussicht.
 
Artikel drucken
Patrick Hediger
Kommentare
Es sind keine Kommentare vorhanden.
Bitte loggen sie sich ein, um einen Kommentar zu verfassen.