News & Rumors: 29. November 2017,

Apple schließt peinliche Sicherheitslücke in macOS High Sierra

MacBook Pro mit macOS High Sierra, Bild: Apple
MacBook Pro mit macOS High Sierra, Bild: Apple

Apple hat heute ein Update für macOS High Sierra veröffentlicht, das eine gleichfalls schwere wie peinliche Sicherheitslücke schließt. Mit ihr konnte man sich root-Zugang „erschleichen“, obwohl der root-User normalerweise überhaupt nicht vorgesehen ist. Damit ließen sich mit vergleichsweise geringen Hürden neue Administratoren anlegen.

User root, Passwort leer

In macOS High Sierra versteckt sich eine Sicherheitslücke, die es unter anderem erlaubt, neue Nutzer, darunter Administratoren, anzulegen, selbst wenn man im Grunde genommen überhaupt keine Rechte hat. Ein Gastzugang genügt bereits. Denn in den Systemeinstellungen kann man eigentlich nicht viel in die Richtung einstellen, solange man sich nicht angemeldet hat – aber die Login-Box erlaubt auch die Eingabe des Nutzers „root“ ohne Passwort. Den „root“-Nutzer gibt es unter macOS eigentlich gar nicht, da Apple auf sudo setzt und damit den normalen Anwender nach Passworteingabe vorübergehend zum Administrator macht.

Immerhin gibt es dafür ein Update. Es ist relativ klein und steht ab sofort im Mac App Store zum Download zur Verfügung. Es wird nicht einmal ein Neustart benötigt. Bezeichnend ist, dass nur macOS High Sierra betroffen ist – ältere Versionen blieben davon verschont. Das passt in gewisser Weise zur allgemeinen Stabilität der Version.

Apple beschreibt, dass die Ursache ein Logik-Fehler bei der Überprüfung der eingegebenen Daten war. Das Update verbessert die Überprüfung und schließt damit die Sicherheitslücke.



Apple schließt peinliche Sicherheitslücke in macOS High Sierra
3.78 (75.56%) 9 Bewertungen

Keine News mehr verpassen! Unsere App für iOS und Android mit praktischer Push-Funktion.




Zuletzt kommentiert



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.


You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>