MacOS High Sierra: Sicherheitslücke erlaubt Root-Rechte ohne Passwort - vorläufiger Workaround kann helfen - UPDATE

Diskutiere MacOS High Sierra: Sicherheitslücke erlaubt Root-Rechte ohne Passwort - vorläufiger Workaround kann helfen - UPDATE im IT-News Forum im Bereich News; Apples neueste Betriebssystem-Version in Form des macOS High Sierra 10.13.1 (17B48) weist offenbar eine schwerwiegende Sicherheitslücke auf, über...
Apples neueste Betriebssystem-Version in Form des macOS High Sierra 10.13.1 (17B48) weist offenbar eine schwerwiegende Sicherheitslücke auf, über welche sich Unbefugte durch einen Root-Zugriff als Administrator auf das System einloggen können, ohne auch nur ein einziges Passwort zu kennen. Ein entsprechender Fix soll sich laut Apple schon in Arbeit befinden, steht allerdings noch nicht zur Verfügung. Dennoch gibt es bereits einen Workaround, über welchen sich betroffene Nutzer vorläufig schützen können sollen


02-12.jpg


UPDATE vom 30.11.2017 - 10:29 Uhr

Auf die beschriebene Sicherheitslücke hat Apple nun mit einem entsprechenden Security Update 2017-001 reagiert, welcher die Betriebssystem-Versionen High Sierra 10.13 sowie 10.13.1 vorgesehen ist. Nutzer von High Sierra 10.12.6 oder älter werden allerdings nicht berücksichtigt. Wer dieses Update einsetzt, muss allerdings mit Fehlern in der Filesharing-Funktion des Betriebssystems rechnen, deren Umgehung durch einen Workaround wiederum im Support-Bereich von Apple beschrieben wird.

Nachtrag: Für alle Nutzer, die trotzdem gerne den Root-Nutzer deaktivieren oder mit einem separaten Passwort ausstatten möchten und mit der englischen Sprache des unten stehenden Workarounds Probleme haben, gibt es auch eine deutschsprachige Anleitung, die dann wie folgt aussieht:

Den root-Benutzer aktivieren oder deaktivieren


  1. Wählen Sie das Menü "Apple" () > "Systemeinstellungen", und klicken Sie anschließend auf "Benutzer & Gruppen" (oder "Accounts").
  2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
  3. Klicken Sie auf "Anmeldeoptionen".
  4. Klicken Sie auf "Verbinden" (oder "Bearbeiten").
  5. Klicken Sie auf "Verzeichnisdienste öffnen".
  6. Klicken Sie im Fenster "Verzeichnisdienste" auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
  7. Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:

  • Wählen Sie "Bearbeiten" > "root-Benutzer aktivieren", und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
  • Oder wählen Sie "Bearbeiten" > "root-Benutzer deaktivieren".


Als root-Benutzer anmelden

Wenn der root-Benutzer aktiviert ist, haben Sie dessen Berechtigungen nur so lange, wie Sie als der root-Benutzer angemeldet sind.


  1. Wählen Sie das Menü "Apple" > "Abmelden", um sich von Ihrem aktuellen Benutzeraccount abzumelden.
  2. Melden Sie sich im Fenster "Anmelden" mit dem Benutzernamen "root" an. Verwenden Sie dabei das Passwort, das Sie für den root-Benutzer erstellt haben.
  3. Wenn das Anmeldefenster eine Liste mit Benutzern anzeigt, klicken Sie auf "Andere", und melden Sie sich anschließend an.


Denken Sie daran, den root-Benutzer nach Abschluss Ihrer Aufgabe wieder zu deaktivieren.


Das root-Passwort ändern


  1. Wählen Sie das Menü "Apple" () > "Systemeinstellungen", und klicken Sie anschließend auf "Benutzer & Gruppen" (oder "Accounts").
  2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
  3. Klicken Sie auf "Anmeldeoptionen".
  4. Klicken Sie auf "Verbinden" (oder "Bearbeiten").
  5. Klicken Sie auf "Verzeichnisdienste öffnen".
  6. Klicken Sie im Fenster "Verzeichnisdienste" auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
  7. Wählen Sie in der Menüleiste der Verzeichnisdienste "Bearbeiten" > "root-Passwort ändern …"
  8. Geben Sie ein root-Passwort ein, sobald Sie dazu aufgefordert werden.


Original-Artikel vom 29.11.2017 - 11:53 Uhr

Nicht nur die Produkte aus dem Hause Microsoft, sondern auch die von Apple können immer mal wieder Sicherheitslücken aufweisen, durch welche findige Hacker durchaus große Schäden anrichten können. So hat der Entwickler Lemi Orhan Ergin noch am gestrigen Abend via Twitter auf eine Sicherheitslücke aufmerksam gemacht, welche dem neuesten macOS High Sierra eine Sicherheitslücke nachweist, über die sich erstaunlich einfach Zugang auf ein System erlangen lassen soll, welches vollen Root-Zugriff erlauben soll.

Mehrere Nachrichtendienste konnten inzwischen bestätigen, dass die dargestellte Methodik funktioniert und sich durch mehrmaliges Betätigen des Login-Buttons tatsächlich ein Root-Zugriff erringen lässt, ohne auch nur ein Passwort zu kennen.

You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28. November 2017



Durch diese Sicherheitslücke könnte es Hackern gelingen, Zugriff auf sämtliche kritischen Einstellungen sowie Administrrator-Rechten zu gelangen und im worst case den Eigentümer des Macs von seinem eigenen Rechner auszusperren. Wie Apple aber gegenüber den Kollegen von techcrunch.com geschrieben hat, arbeite man bereits an einem entsprechenden Fix, kann aber noch nicht genau sagen, wann ein entsprechendes Update ausgerollt werden könne.

We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: How to enable the root user on your Mac or change your root password. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.


Vorläufiger Workaround soll helfen, betroffene Systeme vor unbefugten Zugriffen schützen zu können:

Da man noch nicht genau sagen kann, wann mit einem entsprechendem Update gerechnet werden kann, hat Apple auf der eigenen Support-Seite einen Workaround zur Verfügung gestellt, über welchen sich betroffene User bereits helfen können. Die Lösung ist dabei so simple wie auch logisch. Sobald dem Root-Account ein Passwort zugeordnet wurde, "muss" dieses auch für einen Zugriff eingegeben werden. Die dafür notwendigen Einstellungen sehen wie folgt aus:

Enable or disable the root user


  1. Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
  2. Click lock icon, then enter an administrator name and password.
  3. Click Login Options.
  4. Click Join (or Edit).
  5. Click Open Directory Utility.
  6. Click lock icon in the Directory Utility window, then enter an administrator name and password.
  7. From the menu bar in Directory Utility:

  • Choose Edit > Enable Root User, then enter the password that you want to use for the root user.
  • Or choose Edit > Disable Root User.


Change the root password


  1. Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
  2. Click lock icon, then enter an administrator name and password.
  3. Click Login Options.
  4. Click Join (or Edit).
  5. Click Open Directory Utility.
  6. Click lock icon in the Directory Utility window, then enter an administrator name and password.
  7. From the menu bar in Directory Utility, choose Edit > Change Root Password…
  8. Enter a root password when prompted.


Meinung des Autors: Nicht nur die Produkte von Microsoft, sondern auch die aus dem Hause Apple sind nicht unbedingt fehlerfrei, so wie sie immer wieder gerne dargestellt werden. Als relativ neutral eingestellte Person finde ich es aber wichtig, dass sowohl Hersteller als auch Nutzer über Fehler und Sicherheitslücken kommunizieren. Wir sind alle nur Menschen und somit nicht fehlerfrei. Es kommt aber darauf an, ob und wie man zu diesen steht und welchen Weg man einschlägt, diesen zu beseitigen. Auch wenn es fraglich ist, wie es überhaupt zu einem solch schwerwiegenden Fehler kommen konnte, finde ich die Reaktion von Apple selbst sowie den zur Verfügung gestellten Workaround höchst lobenswert, auch wenn wir uns hier auf einer Seite befinden, die ansonsten wenig bis nichts mit Obst zu tun hat.
 

Alfiator

On Air
Dabei seit
27.11.2008
Beiträge
32.633
Alter
54
Ort
Thüringen
Danke für diesen Beitrag aber es gibt doch etliche Leute die kein Englisch können und deswegen in dem Fall in den recht sauren Apfel beissen müssen weil sie die Ganze Sache nicht verstehen.Ich erlaube mir deshalb mal auf einen Artikel zu verlinken (um dem entgegenzuwirken) weil sich zumindest dort die Jungs die Mühe gemacht haben das zu übersetzen...

BTW: Wieder einmal zeigt sich wie solche Sachen sinnlos ausgeschlachtet werden.Hätte man ein Update veröffentlich und danach die Sache bekannt gemacht wäre das 100 Mal besser gewesen.Ich warte nur noch darauf dazu heute Abend einen Beitrag in der Tagesschau zu sehen...:blush
 
Zuletzt bearbeitet:

WalterB

Internet die Zukunft
Dabei seit
13.09.2002
Beiträge
4.067
Ort
Aargau
Wurde mit Update behoben, es wurde ein Tag später noch ein Update nachgereicht und jetzt sollte alles in Ordnung sein.
Arbeite selber mit Windows und Apple.
 
Thema:

MacOS High Sierra: Sicherheitslücke erlaubt Root-Rechte ohne Passwort - vorläufiger Workaround kann helfen - UPDATE

MacOS High Sierra: Sicherheitslücke erlaubt Root-Rechte ohne Passwort - vorläufiger Workaround kann helfen - UPDATE - Ähnliche Themen

Firefox 52 ist da: mehr Sicherheit, bessere Spiele-Unterstützung, kein Silverlight und Java mehr - UPDATE II: 09.03.2017, 09:42 Uhr: Die letzten Updates von Firefox brachten nur wenige Neuigkeiten, doch bei der jüngsten Aktualisierung brennt Entwickler...
Windows 10 Insider Preview 15002 kommt in den Fast Ring: Microsoft veröffentlicht mit der neuen Build 15002 (Fast Ring) nicht nur die erste Preview Insider Build des Jahres 2017, sondern wohl auch die...
Windows 10 - Preview Build 15007 im Fast Ring für Desktop und Mobile ausgerollt: Auch wenn Microsoft zu Beginn dieser Woche schon die sehr umfangreiche Preview Build 15002 ausgerollt hat, war diese nur für die Nutzer der...
Windows 10 Mobile: Änderungen und Neuheiten des Anniversary Update im Überblick: Ende Juli wird Microsoft ein mehr als umfangreiches Update seines mobilen Betriebssystems veröffentlichen, das diverse Neuerungen und...
Windows 10 Preview Build 14361 ist im Fast Ring als Desktop- als auch Mobile-Version veröffentlicht: Noch am gestrigen Abend hat Microsoft die neue Windows-10-Preview-Build in der Versionsnummer 14361 für alle Windows-Insider des Fast Rings zum...
Oben