macOS High Sierra: Kein Passwort? Kein Problem!

Hier werden aktuelle Meldungen diskutiert
[this is the place to discus news topics]
Antworten
Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32769
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

macOS High Sierra: Kein Passwort? Kein Problem!

Beitrag von doelf » 29 Nov 2017, 14:34

Wenn man vor einem Mac steht, auf dem Apples aktuelles Betriebssystem macOS 10.13.1 (High Sierra) läuft, und man gerade kein Passwort zur Hand hat, gibt es eine elegante und ausgesprochen simple Lösung: Man klickt einfach auf "Benutzer wechseln", "Anderer...", gibt als Benutzernamen "root" ein, lässt das Passwortfeld leer und klickt mehrfach hintereinander auf die Schaltfläche "Login". Und schon ist man drin.

Ein Bug? Ein Feature? Einfach nur peinlich? Was sich Apple hier geleistet hat, spottet jeder Beschreibung, denn hinter "root" verbirgt sich bei unixoiden Betriebssystemen, zu deren Familie auch macOS gehört, ein Superuser-Konto mit den weitreichendsten Zugriffsrechten. Der Root-Nutzer ist ausschließlich für besondere Verwaltungsaufgaben gedacht, denn mit seinen Rechten lässt sich großer Schaden anrichten. Daher sollte der Root-Zugang auch besonders gut gesichert sein und nicht offen stehen wie ein Scheunentor. Eine digitale Umsetzung von "klopfet an, so wird euch aufgetan" (Lukas Kapitel 11, Vers 9) ist jedenfalls nicht zielführend.

Video: https://youtu.be/OJ3JGCV5LjY

Entdeckt wurde das Problem vom türkischen Software-Entwickler Lemi Orhan Ergin. Dieser hatte in der Systemeinstellung unter "Benutzer & Gruppen" auf das Schloss geklickt, "root" als Benutzernamen eingegeben und sich ohne Passwort anmelden können. Andere Nutzer konnten den Fehler auch beim Anmeldebildschirm von macOS High Sierra nachstellen. In einer ersten Reaktion empfiehlt Apples Kundendienst, das Root-Konto zu deaktivieren oder ein Passwort zu setzen. Und genau das scheint der Knackpunkt zu sein: Beim Anmeldeversuch wird der Benutzer Root automatisch aktiviert, auch wenn für diesen gar kein Passwort existiert. Und so wird kein Passwort nach einigen Versuchen als gültig akzeptiert. FAILissimo!
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32769
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Apple stopft peinliche Root-Lücke

Beitrag von doelf » 30 Nov 2017, 16:07

Mit dem gestern veröffentlichten Sicherheits-Update 2017-001 schließt Apple die überaus peinliche Root-Lücke in macOS High Sierra 10.13.1. Auch die Version 10.13.0 ist betroffen, ältere Versionen von macOS hingegen nicht. Der Patch wird automatisch eingespielt.

Der Patch hat ein Problem
Leider hat das Sicherheits-Update 2017-001 Nebenwirkungen: Wenn die Dateifreigabe nach der Installation des Patches nicht mehr funktionieren sollte, muss der Benutzer selbst Hand anlegen. Apple rät, die Terminal-App zu starten und dort den Befehl "sudo /usr/libexec/configureLocalKDC" einzugeben. Die Ausführung dieses Befehls muss mit dem Administrator-Passwort bestätigt werden. Im Anschluss soll die Dateifreigabe wieder funktionieren.

Der Fehler
Hinter "root" verbirgt sich bei unixoiden Betriebssystemen, zu deren Familie auch macOS gehört, ein Superuser-Konto mit den weitreichendsten Zugriffsrechten. Der Root-Nutzer ist ausschließlich für besondere Verwaltungsaufgaben gedacht, denn mit seinen Rechten lässt sich großer Schaden anrichten. Daher sollte der Root-Zugang auch besonders gut gesichert sein. Bei macOS High Sierra war das nicht der Fall, denn jeder konnte sich problemlos als "root" anmelden. Hierzu klickte man einfach auf "Benutzer wechseln", "Anderer...", gab als Benutzernamen "root" ein, ließ das Passwortfeld leer und klickte mehrfach hintereinander auf die Schaltfläche "Login". In der Folge wurde das Root-Konto automatisch aktiviert und da für dieses noch kein Passwort hinterlegt war, musste auch keines angegeben werden.

Quelle:
https://support.apple.com/de-de/HT208315
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

er i kx

Re: macOS High Sierra: Kein Passwort? Kein Problem!

Beitrag von er i kx » 03 Dez 2017, 15:58

Ähm... das macht man aber schon seit 1999 < so... und da kommt man jetzt erst druff???? :D

Benutzeravatar
doelf
Moderator
Moderator
Beiträge: 32769
Registriert: 12 Feb 2004, 23:29
Wohnort: Alsdorf
Kontaktdaten:

Re: macOS High Sierra: Kein Passwort? Kein Problem!

Beitrag von doelf » 04 Dez 2017, 09:19

Gibt es für diese Behauptung Belege? Wenn man versucht, sich mit einem nicht angelegten Root-Konto anzumelden und macOS einfach ein leeres Passwort setzt, ist das eine gewaltige Schwachstelle!
. Tails . Linux . USB . CD . Secure Desktop . IRC . Truecrypt . Tor .

Antworten