Kritische Sicherheitslücke
28.11.2017, 22:14 Uhr
macOS-System High Sierra gewährt "root"-Zugriff ohne Passwort
Das Apple Betriebssystem macOS High Sierra überrascht durch eine ziemlich ärgerliche Sicherheitslücke. Mit dem Benutzernamen root kann ohne Passworteingabe auf das Betriebssystem zugegriffen werden.
(Quelle: Youtube CASCHYS BLOG)
Update 2: Das Sicherheitsupdate von Apple ist bereits verfügbar. Es kann heruntergeladen werden oder wird automatisch installiert. Apple schreibt dazu:
Security is a top priority for every Apple product, and regrettably we stumbled with this release of macOS.
When our security engineers became aware of the issue Tuesday afternoon, we immediately began working on an update that closes the security hole. This morning, as of 8 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.
We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.
When our security engineers became aware of the issue Tuesday afternoon, we immediately began working on an update that closes the security hole. This morning, as of 8 a.m., the update is available for download, and starting later today it will be automatically installed on all systems running the latest version (10.13.1) of macOS High Sierra.
We greatly regret this error and we apologize to all Mac users, both for releasing with this vulnerability and for the concern it has caused. Our customers deserve better. We are auditing our development processes to help prevent this from happening again.
----
-----
Lemi Orhan Ergin hat Apple auf Twitter auf dieses Sicherheitsproblem aufmerksam gemacht.
Carsten Knobloch hat diese Sicherheitslücke in einem Youtube-Video dokumentiert. Er schreibt auch dazu:
Ihr wollt das nachvollziehen? Geht einmal in die Systemeinstellungen und versucht im Bereich Benutzer etwas zu ändern. Der Admin-Account muss sich autorisieren. Nutzt man aber den Anwender root ohne Passwort – und probiert ein paar Mal, dann ist man drin. Bei mir ging es so: Nicht auf „Schutz aufheben“ klicken, sondern einfach mit Return bestätigen.
Carsten Knobloch hat diese Sicherheitslücke in einem Youtube-Video dokumentiert. Er schreibt auch dazu:
Ihr wollt das nachvollziehen? Geht einmal in die Systemeinstellungen und versucht im Bereich Benutzer etwas zu ändern. Der Admin-Account muss sich autorisieren. Nutzt man aber den Anwender root ohne Passwort – und probiert ein paar Mal, dann ist man drin. Bei mir ging es so: Nicht auf „Schutz aufheben“ klicken, sondern einfach mit Return bestätigen.
