Werbung
Derzeit scheint Apple mit schweren Sicherheitslücken für sein Desktop-Betriebssystem macOS High Sierra zu kämpfen. Vor ein paar Wochen wurde eine schwere Sicherheitslücke für verschlüsselte APFS-Laufwerke bekannt, die kurz darauf geschlossen wurde. Nun wurde eine weitere bekannt, die dem Admin-Zugriff auf das System zulässt, ohne dass ein Kennwort eingegeben werden muss.
Die von Lemi Ergin beschriebene Lücke kann über folgende Schritte nachverfolgt werden:
1. Systemeinstellungen öffnen
2. Benutzer & Gruppen öffnen
3. Einstellungen entsperren anklicken
4. "root" als Benutzername eingeben
5. Die Maus in das Passwort-Feld bewegen und darauf klicken, aber nichts eingeben
6. Auf "Schutz aufheben" klicken und der Zugriff wird gewährt
Datenschutzhinweis für Twitter
An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.Ihr Hardwareluxx-Team
Tweets ab jetzt direkt anzeigen
Die Prozedur scheint ebenfalls im Sperrbildschirm zu funktionieren. Mit dem Root- oder Admin-Zugriff kann derjenige Nutzer dann sämtliche Daten des Systems einsehen. Die Sicherheitslücke scheint nur in der aktuellen macOS-Version High Sierra, 10.13.1 und auch der aktuellen Beta von macOS 10.13.2 zu bestehen.
Um die Lücke schnell zu schließen, sollte für den Root-Nutzer ein Passwort vergeben werden. Apple beschreibt dies in einem Support-Dokument. Man arbeitet aber auch schon an einem Update, welches die Sicherheitslücke schließen soll:
"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section."
Wann das Update erscheinen soll, ist derzeit nicht bekannt. Derzeit befindet sich Apple aber in der finalen Testphase von macOS 10.13.2, wo die Lücke aber noch geschlossen werden muss.
1. Update:
Apple hat soeben ein Sicherheitsupdate für macOS High Sierra 10.13.1 veröffentlicht. Das Update kann über den App Store eingespielt werden und bringt nur wenige Megabyte auf die Waage. Apple umschreibt die Dringlichkeit des Updates mit "Installiere dieses Update so bald wie möglich."
2. Update:
Das Schließen der Sicherheitslücke führt bei einigen Nutzern offenbar dazu, dass die Netzwerkfreigaben nicht mehr funktionieren. Sollte dies der Fall sein, hat Apple eine Lösung:
1. Terminal öffnen
2. "sudo /usr/libexec/configureLocalKDC" eingeben
3. Administrator-Passwort eingeben
Danach sollten die Freigaben wieder ohne Probleme funktionieren.