macOS: gravierende Sicherheitslücke ermöglicht vollen Zugriff auf gesperrte Rechner

/in /von

Wie der Entwickler Lemi Ergin​ auf seinem Twitter-Account​ mitteilt, ist Apple ein peinlicher Fehler in macOS High Sierra unterlaufen, der den vollen Administratoren-Zugriff auf jedem Mac ermöglicht.

Hierfür muss in der Anmeldemaske lediglich der Benutzername des eigentlich inaktiven Benutzers „root“​ eingegeben werden um den Mac entsperren zu können, dafür ist nicht mal ein Passwort nötig. Auch der Vollzugriff auf geschützte Daten ist möglich, hierzu muss man lediglich

– die Systemeinstellungen öffnen
– In den Bereich „Benutzer & Gruppen“ navigieren
– Auf das Schloss-Symbol unten links klicken
– Als Benutzernamen „root“ eingeben
– In das Passwort-Feld klicken, jedoch nichts eingeben
– Auf „Schutz aufheben“ klicken!

Es ist davon auszugehen, dass Apple den Bug zeitnah behebt. Bis dahin kann es ratsam sein, den Benutzer „Root“ mit einem Passwort zu versehen. Hierfür müsst ihr

– die Systemeinstellungen öffnen
– In den Bereich „Benutzer & Gruppen“ navigieren
– Auf das Schloss-Symbol unten links klicken
– Sich mit einem Administrator-Account authentifizieren
– Auf Anmeldeoptionen klicken
– Auf die Schaltfläche „Verbinden“ neben „Netzwerkaccount-Server“ klicken
– Auf „Verzeichnisdienste öffnen…“ klicken
– Auf das Schloss-Symbol unten links klicken
– In der Menüleiste des Mac den Menüpunkt „Bearbeiten -> root-Passwort ändern“ auswählen
– Gewünschtes Passwort eingeben und speichern