macOS High Sierra: „root“-Sicherheitslücke wird bekannt
Eine massive Sicherheitslücke von macOS High Sierra wurde in den letzten Stunden bekannt, die den ein oder anderen Entwickler in Cupertino sicherlich um den Schlaf bringen dürfte. Apple stellt ein Support-Dokument mit einem Workaround bereit und kündigt gleichzeitig an, dass man mit Hochdruck an einem Sicherheits-Update arbeitet.Entwickler Leim Orhan Erwin ist aufgefallen, dass es unter macOS High Sierra möglich ist, sich als „root“ einzuloggen und somit Zugriff auf das Gerät zu erlangen. Um das Ganze nachvollziehen zu können, klickt z.B. auf Systemeinstellungen und dann auf „Benutzer & Gruppen“. Anschließend klickt ihr unten links auf das Vorhängeschloss. Nun werdet ihr zur Eingabe eures Benutzernamens und des Passworts aufgefordert. Euren eigentlichen Namen ändert ihr in „root“. Das Passwortfeld lasst ihr frei. Ihr gebt kein Passwort ein, sondern klickt lediglich in das Passwortfeld hinein. Wenn ihr nun „Schutz aufheben“ anklickt, so wird das Vorhängeschloss geöffnet und ihr habt Zugriff..
Wir konnten den Fehler bei uns am MacBook Pro nachvollziehen, allerdings erst beim dritten Versuch. Das selbe Prozedere funktioniert übrigens auch, wenn ihr unter Anmeldeoptionen in den Systemeinstellungen „Anmeldefenster zeigt an „Name und Passwort“ (anstatt Liste der Benutzer) nutzt.Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as „root“ with empty password after clicking on login button several times. Are you aware of it @Apple?— Lemi Orhan Ergin (@lemiorhan) 28. November 2017
Auch wenn man den physikalischen Zugriff auf Macs besitzen muss, empfinden wir dies als große Sicherheitslücken. So denken wir z.B. an Macs in Unternehmen, wo Mitarbeiter sich auf diese Art und Weise theoretisch und praktisch Administrationsrechte verschaffen können.
Vorübergehendes Workaround – Bugfix-Update angekündigt
Bis zu einer endgültigen Lösung hat Apple ein Support Dokument veröffentlicht, mit dem der Hersteller einer vorübergehende Lösung des Problems anbietet. Apple hat sich mittlerweile zur Materie geäußert und bestätigt, dass man an dem Problem arbeitet. In der Zwischenzeit solltet ihr euch das genannte Support Dokument angucken und den Root-Nutzer aktivieren und ein Passwort vergeben. Solltet ihr bereits ein Root-Nutzer vergeben haben, stellt sicher, dass ihr kein leeres Passwort vergeben hat.Eine Sicherheitslücke die Apple nicht schmecken dürfte. Wir empfinden es als ein wenig unglücklich, dass der Entwickler nicht auf „seriöse“ Art und Weise an Apple herangetreten ist, um den Mac-Hersteller auf das Problem aufmerksam zu machen. So hätte Apple die Möglichkeit gehabt, das Problem zu beseitigen, bevor es publik wird. Stattdessen nutzte der Entwickler Twitter, um auf den Umstand aufmerksam zu machen. Nun ist Apple am Zuge und muss dringend nachbessern und ein Sicherheits-Update veröffentlichen.
Wie es scheint, sind sowohl macOS High Sierra 10.13.0, 10.13.1 und die aktuelle Beta zu 10.13.2 betroffen.
from Macerkopf.de - Apple News aus Cupertino - Mac, iPhone, iPod, iPad und mehr http://ift.tt/2Bm0d7H http://ift.tt/2ikXlUN
via IFTTT