• MacOS High Sierra: Sicherheitslücke erlaubt Root-Zugriff ohne Passworteingabe - offizieller Workaround kann helfen - UPDATE

    Bei Apples neueste Betriebssystem-Version in Form des macOS High Sierra 10.13.1 (17B48) hat sich offenbar eine schwerwiegende Sicherheitslücke aufgetan, die Unbefugten einen Root-Zugriff als Administrator auf das System erlaubt, ohne auch nur ein einziges Passwort eingeben zu müssen. Da Apple aktuell noch an einem entsprechenden Bug-Fix arbeitet, wurde ein vorläufiger Workaround veröffentlicht, über welchen sich betroffene Nutzer vor den Gefahren schützen können sollen



    https://www.win-10-forum.de/artikel-attachments/17416-02.jpg


    UPDATE vom 30.11.2017 - 10:20 Uhr


    Auf die beschriebene Sicherheitslücke hat Apple nun mit einem entsprechenden Security Update 2017-001 reagiert, welcher die Betriebssystem-Versionen High Sierra 10.13 sowie 10.13.1 vorgesehen ist. Nutzer von High Sierra 10.12.6 oder älter werden allerdings nicht berücksichtigt. Wer dieses Update einsetzt, muss allerdings mit Fehlern in der Filesharing-Funktion des Betriebssystems rechnen, deren Umgehung durch einen Workaround wiederum im Support-Bereich von Apple beschrieben wird.


    Nachtrag: Für alle Nutzer, die trotzdem gerne den Root-Nutzer deaktivieren oder mit einem separaten Passwort ausstatten möchten und mit der englischen Sprache des unten stehenden Workarounds Probleme haben, gibt es auch eine deutschsprachige Anleitung, die dann wie folgt aussieht:


    Den root-Benutzer aktivieren oder deaktivieren



    1. Wählen Sie das Menü "Apple" () > "Systemeinstellungen", und klicken Sie anschließend auf "Benutzer & Gruppen" (oder "Accounts").
    2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
    3. Klicken Sie auf "Anmeldeoptionen".
    4. Klicken Sie auf "Verbinden" (oder "Bearbeiten").
    5. Klicken Sie auf "Verzeichnisdienste öffnen".
    6. Klicken Sie im Fenster "Verzeichnisdienste" auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
    7. Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:

    • Wählen Sie "Bearbeiten" > "root-Benutzer aktivieren", und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
    • Oder wählen Sie "Bearbeiten" > "root-Benutzer deaktivieren".



    Als root-Benutzer anmelden


    Wenn der root-Benutzer aktiviert ist, haben Sie dessen Berechtigungen nur so lange, wie Sie als der root-Benutzer angemeldet sind.



    1. Wählen Sie das Menü "Apple" > "Abmelden", um sich von Ihrem aktuellen Benutzeraccount abzumelden.
    2. Melden Sie sich im Fenster "Anmelden" mit dem Benutzernamen "root" an. Verwenden Sie dabei das Passwort, das Sie für den root-Benutzer erstellt haben.
    3. Wenn das Anmeldefenster eine Liste mit Benutzern anzeigt, klicken Sie auf "Andere", und melden Sie sich anschließend an.



    Denken Sie daran, den root-Benutzer nach Abschluss Ihrer Aufgabe wieder zu deaktivieren.



    Das root-Passwort ändern



    1. Wählen Sie das Menü "Apple" () > "Systemeinstellungen", und klicken Sie anschließend auf "Benutzer & Gruppen" (oder "Accounts").
    2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
    3. Klicken Sie auf "Anmeldeoptionen".
    4. Klicken Sie auf "Verbinden" (oder "Bearbeiten").
    5. Klicken Sie auf "Verzeichnisdienste öffnen".
    6. Klicken Sie im Fenster "Verzeichnisdienste" auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
    7. Wählen Sie in der Menüleiste der Verzeichnisdienste "Bearbeiten" > "root-Passwort ändern …"
    8. Geben Sie ein root-Passwort ein, sobald Sie dazu aufgefordert werden.






    Original-Artikel vom 29.11.2017 - 12:19 Uhr


    Nicht nur die Produkte aus dem Hause Microsoft, sondern auch die von Apple können immer mal wieder Sicherheitslücken aufweisen, durch welche findige Hacker durchaus große Schäden anrichten können. So hat der Entwickler Lemi Orhan Ergin noch am gestrigen Abend via Twitter auf eine Sicherheitslücke aufmerksam gemacht, welche dem neuesten macOS High Sierra eine Sicherheitslücke nachweist, über die sich erstaunlich einfach Zugang auf ein System erlangen lassen soll, welches vollen Root-Zugriff erlauben soll.


    Mehrere Nachrichtendienste konnten inzwischen bestätigen, dass die dargestellte Methodik funktioniert und sich durch mehrmaliges Betätigen des Login-Buttons tatsächlich ein Root-Zugriff erringen lässt, ohne auch nur ein Passwort zu kennen.




    Durch diese Sicherheitslücke könnte es Hackern gelingen, Zugriff auf sämtliche kritischen Einstellungen sowie Administrrator-Rechten zu gelangen und im worst case den Eigentümer des Macs von seinem eigenen Rechner auszusperren. Wie Apple aber gegenüber den Kollegen von techcrunch.com geschrieben hat, arbeite man bereits an einem entsprechenden Fix, kann aber noch nicht genau sagen, wann ein entsprechendes Update ausgerollt werden könne.


    We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions here: https://support.apple.com/en-us/HT204012. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the ‘Change the root password’ section.

    Vorläufiger Workaround soll helfen, betroffene Systeme vor unbefugten Zugriffen schützen zu können:


    Da man noch nicht genau sagen kann, wann mit einem entsprechendem Update gerechnet werden kann, hat Apple auf der eigenen Support-Seite einen Workaround zur Verfügung gestellt, über welchen sich betroffene User bereits helfen können. Die Lösung ist dabei so simple wie auch logisch. Sobald dem Root-Account ein Passwort zugeordnet wurde, "muss" dieses auch für einen Zugriff eingegeben werden. Die dafür notwendigen Einstellungen sehen wie folgt aus:


    Enable or disable the root user



    1. Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
    2. Click lock icon, then enter an administrator name and password.
    3. Click Login Options.
    4. Click Join (or Edit).
    5. Click Open Directory Utility.
    6. Click lock icon in the Directory Utility window, then enter an administrator name and password.
    7. From the menu bar in Directory Utility:


    • Choose Edit > Enable Root User, then enter the password that you want to use for the root user.
    • Or choose Edit > Disable Root User.



    Change the root password



    1. Choose Apple menu () > System Preferences, then click Users & Groups (or Accounts).
    2. Click lock icon, then enter an administrator name and password.
    3. Click Login Options.
    4. Click Join (or Edit).
    5. Click Open Directory Utility.
    6. Click lock icon in the Directory Utility window, then enter an administrator name and password.
    7. From the menu bar in Directory Utility, choose Edit > Change Root Password…
    8. Enter a root password when prompted.

    Dieser Artikel war interessant bzw. lesenswert? Die Redaktion freut sich über jede Unterstützung wie z.B. die Nutzung unseres -Partner-Links oder unseres -Partner-Links . Du hilfst uns damit, weiterhin auf nervige Layer- sowie Popunder-Werbung zu verzichten und auch allgemein immer mehr Werbebanner abzubauen. Vielen Dank.
    Gefällt dir der Artikel

    MacOS High Sierra: Sicherheitslücke erlaubt Root-Zugriff ohne Passworteingabe - offizieller Workaround kann helfen - UPDATE

    ?

    Meinung des Autors
    Da immer und immer wieder auf Microsoft und Windows 10 herumgehackt wird, soll dieser Artikel auch einmal aufzeigen, dass die oftmals so hoch gelobte Konkurrenz in Form von Apple auch nur mit Wasser kocht. Als relativ neutral eingestellte Person finde ich es aber wichtig, dass sowohl Hersteller als auch Nutzer über Fehler und Sicherheitslücken kommunizieren. Wir sind alle nur Menschen und somit nicht fehlerfrei. Es kommt aber darauf an, ob und wie man zu diesen steht und welchen Weg man einschlägt, diesen zu beseitigen. Auch wenn es fraglich ist, wie es überhaupt zu einem solch schwerwiegenden Fehler kommen konnte, finde ich die Reaktion von Apple selbst sowie den zur Verfügung gestellten Workaround höchst lobenswert, auch wenn wir uns hier auf einer Seite befinden, die ansonsten wenig bis nichts mit Obst zu tun hat.Jetzt kommentieren!
    Hinweise & Tipps:

    1. Lade dir unsere Windows-10-App herunter, um bei einem neuen Artikel eine Push-Benachrichtung auf deinem Smartphone / Tablet / Desktop-PC zu erhalten
    2. Trage dich in unseren Newsletter ein, um bei einem neuen Artikel per E-Mail informiert zu werden
    3. Oder folge uns auf Facebook, Google oder Twitter um keinen News- oder Tipp-Artikel mehr zu verpassen
    4. Besuche unseren Artikel Windows 10 Fragen und Antworten für Neueinsteiger
    5. Sofern du eine bestimmte Frage zu Windows 10 hast, stelle sie einfach direkt hier
    « Windows 10 Nachtmodus: Funktion, Einrichtung, Vorteile und NachteileAdblock Plus mit Firefox Quantum 57.0 oder neuerer nutzen geht nicht? So geht es ganz leicht! »
    Ähnliche News zum Artikel

    MacOS High Sierra: Sicherheitslücke erlaubt Root-Zugriff ohne Passworteingabe - offizieller Workaround kann helfen - UPDATE

    Windows 10: Boot-Vorgang dauert ungewöhnlich lang und System-Festplatte ist plötzlich randvoll - daran kann es liegen
    Wenn der Boot-Vorgang von Windows 10 plötzlich ungewöhnlich lange dauert, die System-Festplatte (SSD), auf der Windows 10 installiert ist,... mehr
    Windows 10 Fall Creators Update wurde durch nativen OpenSSH-Client/Server erweitert
    Mit der Veröffentlichung seines Windows 10 Fall Creators Update (1709) vor einigen Wochen hat Microsoft den Einsatz hauseigener... mehr
    Google-Suche 2017 - diese Begriffe wurden von den Deutschen am meisten gesucht
    Obwohl mittlerweile immer mehr Nutzer Suchmaschinen wie Bing von Microsofts oder auch DuckDuckGo einsetzen, ist und bleibt für die meisten... mehr
    Windows 10: App-Downloads nur aus dem Microsoft Store zulassen - so geht es
    Auch aus anderen Quellen als dem offiziellen Store von Microsoft können Apps für Windows 10 heruntergeladen werden. Das offizielle Angebot... mehr
    Windows 10: Passwortabfrage bei Anmeldevorgang deaktivieren, so geht´s - UPDATE II
    Wer an seinem Computer nur alleine und mit nur einem Administrator-Account arbeitet, kennt sicherlich das Problem, dass bei jedem Start das... mehr

    MacOS High Sierra: Sicherheitslücke erlaubt Root-Zugriff ohne Passworteingabe - offizieller Workaround kann helfen - UPDATE

    – deine Meinung ?
    Kommentare
    1. Avatar von chakkman
      chakkman -
      Schon geil, dass man heutzutage sowas per Twitter an den Apple-Support schickt. Da ist die Intention doch völlig klar.
    1. Avatar von Hopihalido
      Hopihalido -
      Moin,
      ich hab natürlich gleich an meinem IMac den Test gemacht. Es hat nicht funktioniert.
      Ein kurzer Blick in das Apfel Forum hat das bestätigt, es scheint auf Deutsch eingestellten Macs nicht zu funktionieren.
      Auch ungewöhnlich von Apple das die so was kommunizieren, normal werden doch Sicherheitslücken verschwiegen und dann irgendwann ein Update eingespielt.
      root Passwort habe ich natürlich gleich eingestellt.
    1. Avatar von areiland
      areiland -
      Sowas geht bei allen Betriebssystemen, bei denen Benutzerprofile keine Passwörter besitzen :-(
      Apple hätte den Root in dem Fall mit einem vorgegebenen immer gleichen Passwort ausstatten müssen, was ungefähr auf das gleiche hinauslaufen würde.
      Auch bei Windows besitzt der Root (Administrator) per se kein Passwort, nur dass er hier mit Adminrechten explizit erst aktiviert werden muss, damit man ihn nutzen kann. Nicht umsonst raten wir immer dazu, keine Accounts zu betreiben, die ohne Passwort sind. Auch wenn man dann den Autologon aktiviert, einmal die Tastenkombination WIN+L reicht um den Rechner trotzdem nachhaltig zu sperren. Dies gilt aber dann auch nur bis zum nächsten Start, da der dann direkt wieder ins entsperrte Nutzerprofil mündet. Und den Neustart kann man halt auch vom Anmeldebidschirm aus anschieben.
    1. Avatar von Tanakh
      Tanakh -
      Kann man die oben gebrachten Lösungsvorschläge auch auf Deutsch bringen? Danke
    1. Avatar von BlueNinja2017
      BlueNinja2017 -
      Jedes Betriebssystem hat seine Schwächen.
      Auch das Passwort von Windows Benutzerkonto kann umgangen werden.
      Das ist auch eine Sicherheitslücke.
    1. Avatar von Robbie
      Robbie -
      Zitat Zitat von Tanakh Beitrag anzeigen
      Kann man die oben gebrachten Lösungsvorschläge auch auf Deutsch bringen? Danke
      Soll doch von Apple bereits einen Patch dafür geben, der die Lücke schließt. Der Workaround scheint demnach nicht mehr nötig zu sein.
    1. Avatar von Hopihalido
      Hopihalido -
      Moin,
      für High Sierra kam gestern ein Security Update dafür. Das Problem betrifft aber wohl auch andere Versionen, ob es da auch ein Update gab weiß ich nicht. Es kann aber trotzdem nicht schaden ein Passwort für den "root" zu setzen. Was nichts mit dem Benutzerpasswort zu tun hat.
    1. Avatar von areiland
      areiland -
      Apple hat inzwischen reagiert und ein entsprechendes Update ausgerollt um die Lücke zu schliessen: macOS High Sierra Sicherheitsupdate (mac OS 10.13.1) | Borns IT- und Windows-Blog
    1. Avatar von Wolf.J
      Wolf.J -
      Und laut Heise nicht ganz unproblematisch:

      https://m.heise.de/mac-and-i/meldung...n-3905345.html
    1. Avatar von chakkman
      chakkman -
      Ach Gott... nun geht's in die nächste Runde. Bin mir sicher, dass dieser neue Bug nicht mal 0.1 % der Nutzer betrifft.... wäre wohl auch nichts, wenn man nicht bei allem, was die bösen, bösen Großkonzerne machen, gleich wieder meckert. Bin mir sicher, da gibt's Blogger, die haben den ganzen Tag nichts besseres zu tun, als irgendwo nach einem Bug zu suchen. Und natürlich macht heise.de da wieder kräftig mit.
    1. Avatar von Wolf.J
      Wolf.J -
      Sehe ich auch so, den root-Zugriff ohne Password hatten wir ja auch schon bei Linux, wenn derjenige, der es installiert hatte, das vergessen hatte.
      Und diese neue "Meldung" halte ich schlichtweg für Clickbaiting.
      Ist das schon BXXX-Zeitungsniveau?
      Konnte mir aber trotzdem nicht verkneifen, das hier zu verlinken, geht ja schließlich um die "Konkurrenz", die mit dem Anspruch der Unfehlbarkeit.
    1. Avatar von BlueNinja2017
      BlueNinja2017 -
      Windows hat auch seine Macken.