Sicherheitslücke in macOS High Sierra: Apple veröffentlicht Notfall-Update

Holger Eilhard 5

Entwicker Lemi Orhan Ergin‏ hat in macOS High Sierra eine gravierende Sicherheitslücke festgestellt, die es mit einfachsten Mitteln erlaubt, Admin-Zugriff zu erhalten.

Sicherheitslücke in macOS High Sierra: Apple veröffentlicht Notfall-Update
2. Update, 29. November, 17:20 Uhr:
Apple hat soeben ein Sicherheits-Update für macOS High Sierra veröffentlicht, welches die Lücke schließen soll. Dieses kann ab sofort mit Hilfe des Mac App Store geladen und installiert werden. Das Update erfordert keinen Neustart.

Für diejenigen, die nach der Installation des Updates Probleme mit der Dateifreigabe in macOS haben, hat Apple einen Tipp in der eigenen Support-Datenbank.

1. Update, 28. November, 23:50 Uhr:
Ein Apple-Sprecher sagte gegenüber The Loop, dass man an einem Update arbeite. Wann dieses Update konkret verfügbar sein wird, sagte Apple jedoch nicht.

Ursprünglicher Artikel vom 28. November 2017:

Gravierende Sicherheitslücke in macOS High Sierra erlaubt Root-Zugriff ohne Passwort

In zwei kurzen Tweets beschreibt der Entwickler die Lücke in macOS High Sierra, die auch in der aktuellen Version 10.13.1 besteht:

Werdet ihr etwa in den Systemeinstellungen oder bei der Anmeldung nach Benutzername und Passwort gefragt, genügt es in das Feld für den Benutzernamen root ohne ein Passwort einzutragen und die Eingabetaste zu drücken. In unseren Tests musste Letzteres zweimal geschehen, bis die Anmeldung vom System akzeptiert wurde.

20 Funktionen, die ihr in macOS High Sierra kennen müsst:

Bilderstrecke starten
23 Bilder
macOS High Sierra: Ein Blick auf über 20 neue Funktionen.

Temporäre Abhilfe bis Apple die Lücke schließt

Um die Lücke zu schließen, muss dem root-Nutzer lediglich ein Passwort gegeben werden. Dies gelingt am einfachsten über die Verzeichnisdienste-App, die in macOS mitgeliefert wird. Die Anwendung kann über Systemeinstellungen > Benutzer & Gruppen > Anmeldeoptionen > Netzwerkaccount-Server: Verbinden … > Verzeichnisdienste öffnen … geöffnet werden. Gegebenenfalls müsst ihr in diesen Schritten euer aktuelles Passwort angeben, um das Schloss der Systemeinstellungen zu entriegeln.

Nachdem die App geladen wurden, aktiviert ihr den root-User im Menü Bearbeiten > root-Benutzer aktivieren. Danach gebt ihr dem Konto ein sicheres Passwort. Nach der Passwortvergabe dürft ihr den Benutzer nicht deaktivieren. Geschieht dies, wird das gesetzte Passwort gelöscht und die Sicherheitslücke wieder geöffnet.

Hier ein Video, das zeigt wie ihr die Sicherheitslücke temporär schließen könnt bis Apple einen Patch veröffentlicht:

macOS High Sierra: So gebt ihr dem root-Benutzer ein Passwort.

Bislang ist nicht bekannt, wann Apple ein offizielles Update für macOS High Sierra veröffentlichen wird. Wir werden euch informieren, sobald dies geschieht. Bis dahin solltet ihr den root-Benutzer mit einem sicheren Passwort aktiviert lassen. Was sagt ihr zu dem Versäumnis?

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung