> > > > Schwere Sicherheitslücke in macOS High Sierra ermöglicht Admin-Zugriff (2. Update)

Schwere Sicherheitslücke in macOS High Sierra ermöglicht Admin-Zugriff (2. Update)

Veröffentlicht am: von

macos-highsierraDerzeit scheint Apple mit schweren Sicherheitslücken für sein Desktop-Betriebssystem macOS High Sierra zu kämpfen. Vor ein paar Wochen wurde eine schwere Sicherheitslücke für verschlüsselte APFS-Laufwerke bekannt, die kurz darauf geschlossen wurde. Nun wurde eine weitere bekannt, die dem Admin-Zugriff auf das System zulässt, ohne dass ein Kennwort eingegeben werden muss.

Die von Lemi Ergin beschriebene Lücke kann über folgende Schritte nachverfolgt werden:

1. Systemeinstellungen öffnen
2. Benutzer & Gruppen öffnen
3. Einstellungen entsperren anklicken
4. "root" als Benutzername eingeben
5. Die Maus in das Passwort-Feld bewegen und darauf klicken, aber nichts eingeben
6. Auf "Schutz aufheben" klicken und der Zugriff wird gewährt

Die Prozedur scheint ebenfalls im Sperrbildschirm zu funktionieren. Mit dem Root- oder Admin-Zugriff kann derjenige Nutzer dann sämtliche Daten des Systems einsehen. Die Sicherheitslücke scheint nur in der aktuellen macOS-Version High Sierra, 10.13.1 und auch der aktuellen Beta von macOS 10.13.2 zu bestehen.

Um die Lücke schnell zu schließen, sollte für den Root-Nutzer ein Passwort vergeben werden. Apple beschreibt dies in einem Support-Dokument. Man arbeitet aber auch schon an einem Update, welches die Sicherheitslücke schließen soll:

"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section."

Wann das Update erscheinen soll, ist derzeit nicht bekannt. Derzeit befindet sich Apple aber in der finalen Testphase von macOS 10.13.2, wo die Lücke aber noch geschlossen werden muss.

1. Update:

Apple hat soeben ein Sicherheitsupdate für macOS High Sierra 10.13.1 veröffentlicht. Das Update kann über den App Store eingespielt werden und bringt nur wenige Megabyte auf die Waage. Apple umschreibt die Dringlichkeit des Updates mit "Installiere dieses Update so bald wie möglich."

2. Update:

Das Schließen der Sicherheitslücke führt bei einigen Nutzern offenbar dazu, dass die Netzwerkfreigaben nicht mehr funktionieren. Sollte dies der Fall sein, hat Apple eine Lösung:

1. Terminal öffnen
2. "sudo /usr/libexec/configureLocalKDC" eingeben
3. Administrator-Passwort eingeben

Danach sollten die Freigaben wieder ohne Probleme funktionieren.

Social Links

Ihre Bewertung

Ø Bewertungen: 3.67

Tags

Kommentare (28)

#19
Registriert seit: 29.07.2011

Oberstabsgefreiter
Beiträge: 401
@Tommy_Hewitt

nichts für ungut, so ist das aber wenn man jahrlang von oben herab mit abwertenden Blick alle für doof erklärt hatte nur weil sie kein anständiges Handy besitzen ................

ich konnte der Argumentation meines Sohnes soweit folgen, dass er ein IPhone besaß mit der Begründung er sei für die ganzen Programme einschließlich dem BS System zu doof alles auf die Reihe zu kriegen. Deshalb hatte er ein IPhone da ist alles drauf was er braucht und in seiner eigenen Ökowelt sicher und läuft ............... Umso mehr sind jetzt die aufkommenden Sicherheitslücken schon peinlich
#20
customavatars/avatar27600_1.gif
Registriert seit: 22.09.2005
In der schönen Steiermark/Österreich
Admiral
Beiträge: 15301
Lustigerweise fallen mir die meisten herablassenden Kommentare unter Apple-News auf. Markenhass selbst werd ich sowieso nie verstehen, wenn mir die Produkte einer Marke nicht gefallen, ist mir jene halt einfach egal.

Und klar sind solche Sicherheitslücken sehr peinlich, in letzter Zeit gabs so einige Dinge bei Apple die so total unnötig waren. Nicht nur die Sicherheit betreffend, allgemein einfach Fehler die aus reiner Schlampigkeit entstanden sind.
#21
customavatars/avatar151276_1.gif
Registriert seit: 04.03.2011
Hannover / Laatzen
Bootsmann
Beiträge: 542
Nicht nur wurden die OS X Versionen nach und nach immer stärker im Umfang und in den Möglichkeiten beschnitten, jetzt sind auch noch solche stümperhaften Fehler Usus oder wie? Peinlich, peinlich...

Ein Glück kann jeder sein MacBook mithilfe von W10 mit einem rel. vernünftigem Betriebssystem ausstatten.
#22
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5635
Zitat ToMMeK;25986994
Ein Glück kann jeder sein MacBook mithilfe von W10 mit einem rel. vernünftigem Betriebssystem ausstatten.

Ich liebe trockene Ironie :lol:
#23
customavatars/avatar39948_1.gif
Registriert seit: 10.05.2006

Fregattenkapitän
Beiträge: 3042
Ja, das "Jeder" ist echt lustig! :heuldoch:
#24
customavatars/avatar135186_1.gif
Registriert seit: 26.05.2010

Kapitän zur See
Beiträge: 3368
Bei Windows ist der Fehler doch von Haus aus aktiv XD

Zumal bei physischen Zugriff eigentlich eh alles zu spät ist
#25
customavatars/avatar179024_1.gif
Registriert seit: 29.08.2012

Flottillenadmiral
Beiträge: 5635
Zitat
Das Schließen der Sicherheitslücke führt bei einigen Nutzern offenbar dazu, dass die Netzwerkfreigaben nicht mehr funktionieren. [...]
"sudo /usr/libexec/configureLocalKDC" eingeben [...]
Danach sollten die Freigaben wieder ohne Probleme funktionieren.

Aufhören, aufhören :lol::lol: Ich schieß mich weg vor Lachen :lol::lol:

Da scheint jemand panisch alle Patches reinzuschaufeln, ohne ein Review zu machen
#26
customavatars/avatar59527_1.gif
Registriert seit: 06.03.2007
Schweiz
Oberstabsgefreiter
Beiträge: 425
Haltet mal euer Popcorn bereit. Der Bug wurde schon vor mehreren Wochen in Apples Supportforum erwähnt.

Money Quote:
Zitat
A week ago the infrastructure staff at the company I work for stumbled on the issue while trying to help one of my colleagues recover access to his local admin account. The staff noticed the issue and used the flaw to recover my colleague’s account. On Nov 23, the staff members informed Apple about it. They also searched online and saw the issue mentioned in a few places already, even in Apple Developer Forum from Nov 13. It seemed like the issue had been revealed, but Apple had not noticed yet.


Source: Daring Fireball: High Sierra Root Login Bug Was Mentioned on Apple’s Support Forums Two Weeks Ago

(Achja, man kann durchaus Apple-Hardware besitzen und gegen Apple meckern. So schwer is das nicht.)
#27
customavatars/avatar70666_1.gif
Registriert seit: 16.08.2007

Oberbootsmann
Beiträge: 798
Sofern man den Root-Patch unter 10.13 eingespielt und anschließend ein Upgrade auf 10.3.1 macht, soll bei einigen Usern auch der Root-Bug wieder vorhanden sein.
#28
customavatars/avatar166338_1.gif
Registriert seit: 11.12.2011
NRW
Flottillenadmiral
Beiträge: 4954
Zitat skindeep;25991654
Sofern man den Root-Patch unter 10.13 eingespielt und anschließend ein Upgrade auf 10.3.1 macht, soll bei einigen Usern auch der Root-Bug wieder vorhanden sein.


Das dürfte doch gar nicht funktionieren. Der Patch ist doch nur für 10.13.1 erschienen.
Um Kommentare schreiben zu können, musst Du eingeloggt sein!

Das könnte Sie auch interessieren:

  • Windows 10 kann nun auch über Hardware-Key entsperrt werden

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Microsoft hat bereits mit Windows Hello damit begonnen, das klassische Passwort abzuschaffen. Nutzer würden zu oft das gleiche Passwort für verschiedene Dienste nutzen, womit gleichzeitig die Gefahr des Datendiebstahls ansteigt, so die Begründung. Nun legt das Unternehmen nochmals nach und... [mehr]

  • Apple iOS 12 legt Fokus auf Performance und Achtsamkeit

    Logo von IMAGES/STORIES/2017/IOS12

    Während in Taipei gerade die Computex 2018 ihre Pforten öffnet, hat am Montagabend auch Apple seine Eröffnungs-Keynote zur diesjährigen WWDC-Entwicklerkonferenz abgehalten und seine Pläne für die nächste Betriebssystem-Generationen offengelegt. iOS 12 wird unter der Haube einige Änderungen... [mehr]

  • Microsoft Windows 10 Oktober 2018 Update mit DXR verfügbar

    Logo von IMAGES/STORIES/2017/MICROSOFT_2

    Microsoft hat mit der Auslieferung des Windows 10 Oktober 2018 Updates begonnen. Nutzer des Insider Preview können die Version 1809, Build 17763.1 bereits seit einigen Tagen testen, in den kommenden Tagen und Wochen werden alle weiteren Nutzer mit dem Update versorgt. Per Media... [mehr]

  • Windows 10: Update sorgt für Super-GAU bei Spielern

    Logo von IMAGES/STORIES/2017/WINDOWS_10_LOGO

    Das kumulative Windows-10-Update KB4482887 scheint bei Spielen die Leistung zu verringern und soll zudem die Bewegung des Mauszeigers verzögern. Ein Supergau für jeden Spieler. Der internationale Software- und Hardwarehersteller Microsoft wäre aber nicht Microsoft, wenn das Unternehmen den... [mehr]

  • Update: Apple gibt iOS 12 zum Download frei

    Logo von IMAGES/STORIES/2017/IOS12-2

    Wie angekündigt hat Apple vor wenigen Minuten den Download von iOS 12 freigegeben. Die neue iOS-Generation ist der Release mit der bislang größten Geräte-Unterstützung und läuft auf allen iPhone-Geräten ab dem iPhone 5S, welches bereits 2013 erschien, und auf allen iPad-Geräten ab dem... [mehr]

  • macOS 10.14 Mojave: Dark Mode, Stacks und viele optische Neuerungen

    Logo von IMAGES/STORIES/2017/IMAC-RETINA-LOGO

    Im Herbst wird Apple nicht nur eine neue Version seines mobilen iOS-Betriebssystems veröffentlichen, sondern auch seine Mac-Software auf die nächste Version hieven. Das neue macOS 10.14 wird den Beinamen Mojave tragen und einige Änderungen mit sich bringen. Die größte davon ist der Dark Mode.... [mehr]