• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick
  • Auch in diesem Jahr möchten wir auf unserer Webseite mit einem passenden Banner etwas weihnachtliche Stimmung verbreiten. Jeder Apfeltalker kann, darf und sollte uns einen Banner-Entwurf zusenden, wie und wo das geht, könnt Ihr hier nachlesen --> Klick

Klaffende Sicherheitslücke: macOS High Sierra lässt sich ohne Passwort entsperren

Martin Wendel

Redakteur & Moderator
AT Administration
AT Moderation
AT Redaktion
Registriert
06.04.08
Beiträge
45.335
Klaffende Sicherheitslücke: macOS High Sierra lässt sich ohne Passwort entsperren
114-Header-macOS-High-Sierra-700x400.jpg



Am Dienstag Abend wurde in macOS High Sierra eine massive Sicherheitslücke entdeckt. Das aktuelle Apple-Betriebssystem erlaubt über den Root-User einen Admin-Zugriff ohne Eingabe eines Passwortes. Apple ist über das Problem bereits informiert und verspricht ein baldiges Update. Einstweilen ist allen Nutzern zu raten, das Root-Passwort händisch zu ändern.

You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use "root" with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs

— Lemi Orhan Ergin (@lemiorhan) 28. November 2017


macOS High Sierra: Admin-Zugriff ohne Passwort


Jeder kann es selbst nachprüfen: Öffnet die Systemeinstellungen und wählt etwa den Bereich "Benutzer & Gruppen" aus. Klickt unten auf das Schlosssymbol, ersetzt den vorausgefüllten Benutzernamen durch root und lasst das Passwortfeld unausgefüllt. Nach ein- oder mehrmaligen Klick auf "Schutz aufheben" hat man vollen Admin-Zugriff auf die Systemeinstellungen.

Auch beim Anmeldebildschirm von macOS kann man sich, nachdem der Root-Benutzer einmal verwendet wurde (was auch im Gastbenutzer möglich ist), über diesen Trick mit Admin-Rechten ins System einloggen. Dieser schwere Bug ist sowohl im aktuellen macOS High Sierra 10.13.1 als auch in der Betaversion von 10.13.2 enthalten. Bis Apple ein Update nachreicht, sollte man unbedingt ein Passwort für den Root-Benutzer vergeben.
Workaround: Root-Passwort vergeben


Dazu in den Systemeinstellungen den Bereich "Benutzer & Gruppen" öffnen, über das Schlosssymbol entsperren und "Anmeldeoptionen" auswählen. Dort bei Netzwerkaccount-Server" auf "Verbinden …" und anschließend "Verzeichnisdienste öffnen …" klicken. Dort erneut über das Schlosssymbol entsperren und über die Menüleiste "Bearbeiten" das "root–Passwort ändern …". "root-Benutzer deaktivieren" reicht offenbar nicht aus.

Via MacRumors
 
Zuletzt bearbeitet:

Fat_Toni

Roter Stettiner
Registriert
15.02.08
Beiträge
975
Das ist ja mal richtig heftig.
Zum Glück habe ich die Festplatte zusätzlich verschlüsselt, werde aber gleich heute Abend das root Passwort auch noch ändern. Danke für den Hinweis!
 

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.435
Wieder so ein Ding, das die Frage aufwirft, inwieweit Apple den Prozess der Softwareentwicklung ausreichend im Griff hat.

Fehler passieren immer. Die Kunst ist, sie vor dem Release zu finden und zu beheben. Hier weist Apple erheblichen Nachholbedarf nach. Bei einer x-beliebigen Software darf man mal schlampen, aber bei solchen Funktionen eines Betriebssystems sollte man schon genauer testen. Kürzlich die Anzeige des Passworts im Klartext, nun dies.

Für die zuletzt aufgetretenen Fehler fehlt mir jegliches Verständnis. Das sind deutliche Anzeichen für ein Versagen des Projektmanagements.

So viel dazu: Man solle die Systeme immer aktuell halten und möglichst schnell auf das neueste System aktualisieren:rolleyes:.

Unsinn. Unbekannte Fehler sind immer noch besser als jahrelang bekannte.
 
Zuletzt bearbeitet von einem Moderator:

Papa_Baer

Sternapfel
Registriert
06.01.15
Beiträge
4.952
Bis Apple ein Update nachreicht, sollte man unbedingt ein Passwort für den Root-Benutzer vergeben.

Das sollte doch aber nur nötig sein wenn mehrere Personen auf das gerät zugreifen können oder? Ich nutze mein Macbook nur zu hause. Dann könnte ich mir die root Passwortvergabe sparen denke ich.
 

Gelöschtes Mitglied 115674

Gast
@ottomane: Das versteh ich jetzt nicht in diesem Zusammenhang - meinst du das andersherum?:D.

EDIT: Ich aktualisiere für gewöhnlich bei 10.X.5 Version bzw. unter iOS bei X.5 (wobei mittlerweile sind mein Handy und Tablet zu alt für jegliche Updates..). In der Hoffnung das die meisten heftigen Bugs ausgemerzt wurden.
 

Hooray

Alkmene
Registriert
16.11.13
Beiträge
35
Also bei mir geht das nicht am Anmeldebildschirm. Dort ist nur entweder mein Account oder der Gast-Account auswählbar. Oder gibt es einen Tastaturshortcut, um gleich nach dem Start zum Root-Account zu kommen?
 

ottomane

Golden Noble
Registriert
24.08.12
Beiträge
16.435
@ottomane: Das versteh ich jetzt nicht in diesem Zusammenhang - meinst du das andersherum?:D.

Nein. Aktuelle Systeme enthalten Fehler ebenso wie veraltete. Nur gibt es für die veralteten Systeme evtl. bereits funktionierende Exploits, während die Fehler der neuen Systeme noch nicht gefunden bzw. nicht dokumentiert sind. Dafür sind aber die alten Fehler weg ;)

Außerdem enthalten neuere Systeme mehr Sicherheitsfunktionen als alte.

EDIT: Möglicherweise habe ich dein Posting aber falsch interpretiert und als Empfehlung für die Nutzung alter Systeme verstanden.
 
  • Like
Reaktionen: Benutzer 190524

MACaerer

Charlamowsky
Registriert
23.05.11
Beiträge
13.008
@ottomane hat schon recht. Ein noch unbekannter Fehler ist wohl auch noch den meisten potentionellen Angreifern und Hackern unbekannt. Eine Gefahr stellt er erst dann dar wenn er bekannt wird. Das ist bei älteren System auf jeden Fall gegeben.

MACaerer
 
  • Like
Reaktionen: ottomane

Overchurch

Zuccalmaglios Renette
Registriert
27.06.09
Beiträge
261
Schwerwiegende Lücke, welche von Apple sofort geschlossen werden muss...ganz klar!
Aber bitte nicht übertreiben! Der Angreifer muss hierzu erst mal Zugriff auf euren Mac haben.
Ich glaube, dass bei den meisten Nutzern mehr Schaden durch das Workaround "Root-Passwort vergeben" entsteht, als durch die Sicherheitslücke!
 

Macbeatnik

Golden Noble
Registriert
05.01.04
Beiträge
34.476
So etwas passiert halt, wenn man nicht mehr Teams mit der Pflege von Systemfunktionen hat, sondern nur noch einzelne Entwickler zuständig sind, da kommt dann schon mal das eine oder andere Stückwerk ins Update, wenn der Programmierer dann mal in Urlaub ist oder nur verschlafen hat und das Update unbedingt raus muss, da die gierige Masse ja ständig neues fordert.
 

Gelöschtes Mitglied 115674

Gast
Nein. Aktuelle Systeme enthalten Fehler ebenso wie veraltete. Nur gibt es für die veralteten Systeme evtl. bereits funktionierende Exploits, während die Fehler der neuen Systeme noch nicht gefunden bzw. nicht dokumentiert sind. Dafür sind aber die alten Fehler weg ;)

Außerdem enthalten neuere Systeme mehr Sicherheitsfunktionen als alte.

EDIT: Möglicherweise habe ich dein Posting aber falsch interpretiert und als Empfehlung für die Nutzung alter Systeme verstanden.

Ah jetzt wurde es klar was du meinst^^. Ja hatte auch noch ein EDIT hinzugefügt, lieber erstmal noch paar Minor Updates abwarten.

Btw.: Ich bin immer als Standard-Nutzer unterwegs.. Tritt der Bug auch bei Benutzern mit Standardrechten auf oder nur bei "Admins"? Falls ja, dann sollte selbst bei einem entsperrten Mac nichts schief laufen.
 
  • Like
Reaktionen: ottomane

maddi06

Borowitzky
Registriert
10.11.14
Beiträge
9.027
Egal mit welchem Nutzer du angemeldet bist. Die Änderung in den Einstellungen lassen sich immer über den Nutzer root und ohne Passwort ändern.

Lediglich die Anmeldung dürfte nicht immer funktionieren. Ich habe meinen Mac jetzt nicht hier aber ich bin der Meinung, das man keinen Benutzer manuell ändern kann.

In den Einstellungen ist das anders.
 
  • Like
Reaktionen: tobeinterested

Benutzer 190524

Gast
hielt dieser Fehler erst in HS Einzug?
Ich muss dem Ottomanen recht geben, dieser Bug , Fehler hat schon fast den Beigeschmack des Vorsatzes ...
 

pixelpainter

Stechapfel
Registriert
14.10.07
Beiträge
161
Ganz ehrlich: Die Qualität der Produkte insgesamt - egal of Software oder Hardware - lässt bei Apple immer mehr zu Wünschen übrig!
 

Fresh_Prince

Kantil Sinap
Registriert
22.10.14
Beiträge
7.296
Egal mit welchem Nutzer du angemeldet bist. Die Änderung in den Einstellungen lassen sich immer über den Nutzer root und ohne Passwort ändern.

Lediglich die Anmeldung dürfte nicht immer funktionieren. Ich habe meinen Mac jetzt nicht hier aber ich bin der Meinung, das man keinen Benutzer manuell ändern kann.

In den Einstellungen ist das anders.

Doch, doch. Das geht auch aus dem Anmeldebildschirm heraus wenn der root User aktiviert wurde. Man muss dafür natürlich auch im Anmeldebildschirm die Eingabefelder für Name und Passwort aktiviert haben und nicht nur für das Passwort.

Jedoch muss dazu vorher erst einmal der root User aktiviert worden sein. Das geschieht ja gerade durch das Ausnutzen der "Lücke" indem man einfach bei Admin Passwortanfrage "root" als Name wählt und das Passwortfeld frei lässt.
Das ist für mich ein Unding. Normalerweise muss kann man den root User eben nur über einen "komplizierteren" Weg aktivieren. Aus Normalusersicht eben. Aber durch diese Sache wird der User sofort aktiviert und das eben nutzbar ohne ein Passwort.

Da ich den root User bei mir immer eingeschaltet habe, jedoch mit eigenem Passwort, musste ich zum Nachstellen diesen erst einmal deaktivieren.


Ja, Menschen machen Fehler und die automatisierte Fehlerfindung, findet auch nicht immer alle Fehler. Aber das Ding hier ist schon gravierend und sollte nicht einmal überhaupt auftreten.

Gut das Apple schon an einem Fix arbeitet der hoffentlich auch ganz fix kommt.
 

jack_pott

Rheinischer Krummstiel
Registriert
15.12.07
Beiträge
379
Oha. Also so etwas darf ja auf gar keinen Fall passieren. Fühlt sich ein bisschen an wie damals – ich meine, es wäre um die Zeit gewesen, als Ubuntu aufkam – als der root-User quasi abgeschafft wurde und alles nur noch über sudo gemacht wurde. Ich war schon immer eher Freund eines echten roots (selbstverständlich mit Passwort).

PS: Das root-Passwort lässt sich auch per Terminal leicht setzen. Einfach "passwd root" eintippen.
 

Fresh_Prince

Kantil Sinap
Registriert
22.10.14
Beiträge
7.296
Da diese Sache auch in der Gestern erschienenden 5. Beta von 10.13.2 noch nicht behoben wurde, scheint es Apple wirklich nicht bewusst gewesen zu sein.
 

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
Mal ganz doof gefragt, vielleicht habe ich es nicht richtig verstanden.

Wenn ich keinen Root-User aktiviert habe und der Anmeldebildschirm so konfiguriert ist, dass nur noch das Passwort eingegeben werden kann, funktioniert diese Lücke nicht, oder doch?

Und selbst wenn ich den Anmeldebildschirm auf "Name und Passwort" einstelle, kann ich den Bug nicht nachvollziehen.

Ich hatte übrigens den Root-User noch nie aktiviert.
 
  • Like
Reaktionen: Papa_Baer

Marcel Bresink

Filippas Apfel
Registriert
28.05.04
Beiträge
8.876
Wenn ich keinen Root-User aktiviert habe und der Anmeldebildschirm so konfiguriert ist, dass nur noch das Passwort eingegeben werden kann, funktioniert diese Lücke nicht, oder doch?

Es kommt darauf an, was Du mit "funktioniert" meinst. Der Anmeldeschirm hat aber damit überhaupt nichts zu tun.

Sobald sich irgendein Benutzer anmelden kann (das kann auch der Gastbenutzer sein) und der root-Benutzer ist nicht aktiviert, kann der angemeldete Benutzer diese Lücke ausnutzen, um alle Sicherheitsmaßnahmen des Betriebssystems außer dem Systemintegritätsschutz abzuschalten.
 
  • Like
Reaktionen: Papa_Baer und Marco_R