Apple schließt peinliche Sicherheitslücke in macOS High Sierra

Apple hat heute ein Update für macOS High Sierra veröffentlicht, das eine gleichfalls schwere wie peinliche Sicherheitslücke schließt. Mit ihr konnte man sich root-Zugang „erschleichen“, obwohl der root-User normalerweise überhaupt nicht vorgesehen ist. Damit ließen sich mit vergleichsweise geringen Hürden neue Administratoren anlegen.

User root, Passwort leer

In macOS High Sierra versteckt sich eine Sicherheitslücke, die es unter anderem erlaubt, neue Nutzer, darunter Administratoren, anzulegen, selbst wenn man im Grunde genommen überhaupt keine Rechte hat. Ein Gastzugang genügt bereits. Denn in den Systemeinstellungen kann man eigentlich nicht viel in die Richtung einstellen, solange man sich nicht angemeldet hat – aber die Login-Box erlaubt auch die Eingabe des Nutzers „root“ ohne Passwort. Den „root“-Nutzer gibt es unter macOS eigentlich gar nicht, da Apple auf sudo setzt und damit den normalen Anwender nach Passworteingabe vorübergehend zum Administrator macht.

[mn-twitter id=“935578694541770752″]

Immerhin gibt es dafür ein Update. Es ist relativ klein und steht ab sofort im Mac App Store zum Download zur Verfügung. Es wird nicht einmal ein Neustart benötigt. Bezeichnend ist, dass nur macOS High Sierra betroffen ist – ältere Versionen blieben davon verschont. Das passt in gewisser Weise zur allgemeinen Stabilität der Version.

Apple beschreibt, dass die Ursache ein Logik-Fehler bei der Überprüfung der eingegebenen Daten war. Das Update verbessert die Überprüfung und schließt damit die Sicherheitslücke.

Ähnliche Nachrichten