macOS High Sierra 10.13.1 reaktiviert Root-Lücke

Der vor wenigen Tagen veröffentlichte Sicherheitspatch, der eine schwere Sicherheitslücke schloss, wird durch das Update 10.13.1 unwirksam. Erst ein Reboot zeigt den Patch im App Store unter Updates wieder an.

Nur wenige Tage nach der Veröffentlichung eines Sicherheitspatches, der die schwere Lücke auf Macs mit macOS High Sierra beseitigte, reaktiviert ein Update des Betriebssystems auf Version 10.13.1 die Schwachstelle erneut. Nach dem Update ist es wieder möglich sich mit dem Administratorkonto „root“ ohne Eingabe eines Passworts auf dem Mac anzumelden. Das funktioniert auch aus der Ferne, wenn die Bildschirmfreigabe aktiviert ist. Mit der Root-Anmeldung hat man volle Kontrolle über das System.

Erst nach einem Neustart des Macs wird der Patch wieder angezeigt. Nutzer sollten also nach Einspielen des Updates 10.13.1 einen Neustart durchführen und im App Store das Sicherheits-Update 2017-001 erneut einspielen. Sollte das Update nicht angezeigt werden, kann die Schwachstelle dadurch beseitigen, indem man ein Passwort für das Root-Konto setzt. Dafür muss im Terminal der Befehl „sudo passwd –u root“ eingegeben werden.

[Meldung vom 30. November] Passwortlücke: Apple veröffentlicht Update für macOS High Sierra

Apple hat ein Update für macOS High Sierra veröffentlicht, das die gestern bekanntgewordene peinliche Passwortlücke stopft. Macs mit dem neuesten Apple-Betriebssystem macOS High Sierra 10.13.1 konnten mit der Eingabe des Benutzernamens „root“ ohne Eingabe eines Passworts entsperrt werden. Der Grund für den Fehler lag an einem „logischen Fehler bei der Validierung von Nutzerkonten“. Mit dem Update wird dieses Fehlverhalten des Betriebssystems korrigiert. Apple empfiehlt die Aktualisierung sobald wie möglich zu installieren.

„Als unsere Sicherheitsingenieure am Dienstagnachmittag auf das Problem aufmerksam wurden, begannen wir sofort mit der Arbeit an einem Update, das die Sicherheitslücke schließt. Heute Morgen, ab 8 Uhr, steht das Update zum Download bereit, und ab heute wird es automatisch auf allen Systemen installiert, auf denen die neueste Version (10.13.1) von macOS High Sierra läuft. Wir bedauern diesen Fehler sehr und entschuldigen uns bei allen Mac-Benutzern, sowohl für die Freigabe dieser Sicherheitslücke als auch für die dadurch verursachte Besorgnis. Unsere Kunden verdienen etwas Besseres. Wir überprüfen unsere Entwicklungsprozesse, um zu verhindern, dass dies wieder geschieht.

Offenbar ist die Aktualisierung nicht ganz frei von Nebenwirkungen. Laut AppleInsider kann das Update den Zugriff auf freigegebene Ressourcen im Netzwerk verhindern. Nutzer, die von diesem Fehler betroffen sind, können das Problem folgendermaßen beheben:

  • 1. Öffnen Sie die Terminal-Anwendung, die sich im Ordner Programme – Dienstprogramme befindet.
  • 2. Geben Sie sudo /usr/libexec/configureLocalKDC ein und drücken Sie die Eingabetaste.
  • 3. Geben Sie Ihr Administratorkennwort ein und drücken Sie die Eingabetaste.
  • 4. Beenden Sie die Terminalanwendung.

[Meldung vom 29. November] Sicherheitslücke hebelt Passwortschutz von macOS High Sierra aus

Ein türkischer Entwickler namens Lemi Orhan Ergin hat einen Fehler in macOS High Sierra 10.13 entdeckt, der es offenbar erlaubt, dass Root-Konto ohne Eingabe eines Passworts zu aktivieren. Als Folge kann ein nicht autorisierter lokaler Nutzer die vollständige Kontrolle über einen Mac übernehmen. Der Bug soll es Unbefugten aber auch erlauben, einen Mac ohne Eingabe eines Kennworts zu entsperren.

Das Root-Konto lässt sich über die Systemeinstellungen von macOS High Sierra einschalten. Ein Angreifer muss lediglich die Einstellungen für Benutzer und Gruppen öffnen und das „Schloss“ anklicken, um diese zu ändern. Bei der Passwortabfrage für den angemeldeten Nutzer muss anschließend lediglich der Name zu „root“ geändert werden – das Passwortfeld kann indes leer bleiben. Nach mehreren Klicks auf „Schutz aufheben“ sind nicht nur alle Einstellungen für Benutzer und Gruppen zugänglich, auch das Root-Konto ist aktiv und kann für jegliche Änderungen benutzt werden.

Ein Bug in macOS High Sierra 10.13 erlaubt die Aktivierung des Root-Kontos ohne Eingabe eines Passworts (Screenshot: ZDNet.de).Ein Bug in macOS High Sierra 10.13 erlaubt die Aktivierung des Root-Kontos ohne Eingabe eines Passworts (Screenshot: ZDNet.de).

Ein gesperrter Mac fällt dem Bug zum Opfer, falls die Option „anderer Benutzer“ beziehungsweise die Felder zur Eingabe von Benutzername und Kennwort auf dem Sperrbildschirm zur Verfügung stehen. Auch dort muss lediglich der Benutzername „Root“ ohne Kennwort eingegeben werden, um die Sperre aufzuheben – was Nutzer unter anderem in auf Twitter veröffentlichten Videos demonstrieren.

Der Sicherheitsforscher Will Dormann des CERT/CC der Carnegie Mellon University will sogar einen Weg gefunden haben, die Schwachstelle aus der Ferne auszunutzen. Dafür muss die Screen-Sharing-Funktion aktiv sein. Ein Zugriff aus der Ferne soll aber auch über das Apple Remote Management möglich sein – jeweils ohne Kenntnis eines gültigen Passworts. ZDNet.de hat diese Möglichkeit nachvollzogen. Ist die Bildschirmfreigabe aktiviert, kann man sich aus der Ferne mit der User-ID „root“ ohne Eingabe eines Passworts anmelden.

 

OS X High Sierra: Root-Nutzer hat standardmäßig kein Passwort (Screenshot: ZDNet.de)Auch aus der Ferne kann man sich mit der User-ID „root“ ohne Passwort auf einem Mac mit macOS High Sierra anmelden, sofern die Bildschirmfreigabe aktiviert ist (Screenshot: ZDNet.de)

Ein Apple-Sprecher bestätigte den Fehler inzwischen. „Wir arbeiten an einem Software-Update, um das Problem zu beheben“, sagte er. Apple empfiehlt, bis zur Veröffentlichung eines Updates ein Passwort für das Root-Konto zu vergeben, um die Lücke zu schließen. Dafür muss im Terminal der Befehl „sudo passwd –u root“ eingegeben werden.

Laut Tests von ZDNet USA sind macOS High Sierra 10.13.0, 10.13.1 und auch die aktuelle Beta 5 von macOS High Sierra 10.13.2 betroffen. Auf einem virtualisierten Testsystem von ZDNet.de ließ sich nur der erste Teil des Bugs nachvollziehen – das Entsperren ohne Kennwort war erst nach der Aktivierung des Root-Kontos über die Systemeinstellungen möglich.

[UPDATE 11:35 Uhr]

Inzwischen wurde bekannt, dass die Existenz der Sicherheitslücke schon länger bekannt ist. Sie wurde in einem Apple-Entwickler-Forum bereits am 13. November erwähnt. Außerdem lässt sich das Root-Konto nicht nur über die Systemeinstellungen aktivieren, sondern immer dann, wenn ein Login-Fenster mit der Möglichkeit zur Eingabe von Benutzername und Passwort erscheint. Das war im Test mit einem mit macOS High Sierra betriebenen MacBook Air standardmäßig eingestellt. Frühere macOS-Versionen zeigten im Anmeldebildschirm stattdessen aktive Nutzernamen an, ohne eine Möglichkeit „root“ als User-ID einzugeben. Abgesehen davon sind frühere Versionen von der Lücke nicht betroffen, da sich der User „root“ nicht über eine einfache Eingabemaske aktivieren lässt.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Microsoft, macOS

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

13 Kommentare zu macOS High Sierra 10.13.1 reaktiviert Root-Lücke

Kommentar hinzufügen
  • Am 29. November 2017 um 12:35 von Mac-Harry

    Klar kann ein Angreifer über die System Einstellung etwas verändern, doch da muss erst einmal hinkommen. Ich habe das nachgestellt und herausgefunden, dass bei meinen Sicherheits-Einstellungen es überhaupt nicht möglich ist überhaupt an den Mac ranzukommen.

    Und mal im Ernst: wer betreibt heute noch einen Computer ohne Zugangspasswort?

    • Am 29. November 2017 um 14:00 von Antiappler

      Wieso soll ich an meinem Computer ein Zugangspasswort setzen?
      In meiner Familie befinden sich schließlich keine Verbrecher!

    • Am 29. November 2017 um 14:14 von Klaus der Bestürzte

      Das ist Unsinn, Mac-Harry. Es gibt viele Rechner, die mehr als eine Person nutzt. Und da kann sich dann eben jeder x-beliebige User mit dieser groben Lücke Root Rechte beschaffen. Der ‚Gast‘ User kann ja deaktiviert sein, aber sobald ein zweiter aktiv ist, der an den Rechner kommt, ist das System offen.

      Ein grober Fehler. Zweifellos.

      Und das hat auch nix mit Familie zu tun, man denke nur an Unternehmen.

  • Am 29. November 2017 um 21:02 von jmatrix

    Das gibt aber echt zu denken ! Wie kommt bloss so ein banaler Fehler durch die Tests ?
    Wenn die Apple-Entwickler an den Logins arbeiten, so muss es auch ein kompetentes Team an Apple-Testern geben, welche die Sache auf Herz und Nieren prüfen.
    Da wurde offenkundig geschlampt, denn so ein „einfacher“ Fehler MUSS entdeckt werden !
    Für mich eine unglaubliche Sache, vielleicht ist „ungeheuerlich“ der bessere Ausdruck.

    • Am 30. November 2017 um 13:22 von Klaus der Realist

      Viele Zeilen Code, und ein Fehler genügt.

      Fehler machen sie Alle, da alle nur mit Wasser kochen. Wichtig ist, wie man damit umgeht.

      Und es gab bereits gestern ein Update, um die sehr peinliche Lücke zu schließen.

  • Am 29. November 2017 um 22:04 von Mac-Harry

    Richtig: In der Familie existiert kein Problem. In Firmen auch nicht, weil sich keiner Rechner „teilt“. Aber sei es drum, es gibt obskure Sonder-Extra-Ausnhme-Konstellationen. Na dann.

    • Am 30. November 2017 um 9:39 von M@tze

      Du hast wirklich keine Ahnung…

    • Am 30. November 2017 um 13:25 von Klaus der Nackige

      Stimmt, Du hast in der Familie ‚nix zu verbergen‘? ;-)

  • Am 29. November 2017 um 23:08 von Mac-Harry

    Alles alter Käse. Die Lücke wurde geschlossen. Nutzlose Diskussion.

    • Am 30. November 2017 um 13:25 von Klaus der Genervte

      Das ändert aber nix daran, dass das eine Sicherheitslücke war. ;-)

  • Am 30. November 2017 um 12:36 von Antiappler

    „In Firmen auch nicht, weil sich keiner Rechner „teilt“.“

    Doch, da wird es gemacht! Schon mal den Begriff Urlaubs – und Kranken/Krankheitsvertretung gehört?

  • Am 2. Dezember 2017 um 23:16 von wayne

    In unseren Produktionshallen kann jeder an jeden beliebigen Rechner um sich einzuloggen und von dort aus zu arbeiten. Und es stehen genügend Rechner Rum. Sich in Firmen keine Rechner zu teilen ist etwas altbacken, Harry eben.

  • Am 4. Dezember 2017 um 15:29 von Stephan

    Die Lücke war bereits seit mehreren Wochen öffentlich
    und lies sich bei aktivem Remote-Zugriff aus der Ferne nutzen.

    Der erste „schnelle“ Root-Patch der die peinliche Lücke
    im MAC-OS schließen sollte war so fehlerhaft,
    das er gleichzeitig die File-Sharing Freigabe blockierte.

    Zumal dieser Schnellschuss Patch nach dem einspielen,
    durch das neue MAC OS 10.13.1 wiederum außer Kraft gesetzt wurde.

    Auweia Apple.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *