DeuAq.com >> Leben >  >> Elektronik

Apple behebt schwere Sicherheitslücke in macOS High Sierra: Jeder konnte sich als Root anmelden

Die Anzahl von Sicherheitsverstößen und Lücken in Software ist in den letzten Jahren gestiegen. Die jüngste Schwachstelle in macOS High Sierra ist jedoch besonders alarmierend: Sie erlaubte jedermann den Zugriff auf Ihren Mac.

Apple behebt schwere Sicherheitslücke in macOS High Sierra: Jeder konnte sich als Root anmelden

Im Gegensatz zu vielen Fehlern, die technisches Know-how erfordern, konnte diese Lücke von jedem ausgenutzt werden. Bei macOS High Sierra 10.13.1 reichte es, "root" als Benutzernamen einzugeben, um auf Konten, Dateien, Einstellungen und sogar zur Malware-Installation zuzugreifen.

Apple hat nun das Sicherheitsupdate 2017-001 veröffentlicht (am 29. November), das den Fehler behebt. Es gilt für macOS High Sierra 10.13 und 10.13.1; ältere Versionen wie Sierra 10.12.6 sind nicht betroffen. Apple beschreibt es als "logischen Fehler bei der Validierung von Anmeldeinformationen".

Sicherheitsupdate installieren

So aktualisieren Sie Ihren Mac:

  1. Öffnen Sie den App Store.
  2. Klicken Sie in der Symbolleiste auf "Updates".
  3. Laden Sie und installieren Sie alle aufgeführten Updates.

Apple behebt schwere Sicherheitslücke in macOS High Sierra: Jeder konnte sich als Root anmelden

Zum Überprüfen, ob das Update wirkt (oder bei automatischen Updates):

  1. Öffnen Sie Terminal (in Dienstprogramme > Anwendungen).
  2. Geben Sie what /usr/libexec/opendirectoryd ein.
  3. Erwartete Versionen: opendirectoryd-483.1.5 (10.13) oder opendirectoryd-483.20.7 (10.13.1).

Apple behebt schwere Sicherheitslücke in macOS High Sierra: Jeder konnte sich als Root anmelden

Falls Sie den Root-Benutzer nach dem Update brauchen, aktivieren Sie ihn neu und ändern Sie das Passwort (Details weiter unten).

Der Fehler wurde zuerst vom Sicherheitsforscher Lemi Orhan Ergin entdeckt, der ihn auf Twitter teilte: "Lieber @AppleSupport, wir haben ein *RIESIGES* Sicherheitsproblem bei MacOS High Sierra bemerkt. Jeder kann sich als 'root' mit leerem Passwort anmelden." Er beschrieb den Weg über Systemeinstellungen > Benutzer & Gruppen.

Apple reagierte schnell mit einer temporären Lösung und dem finalen Update.

Schutz vor der High-Sierra-Lücke

Bis zum Update: Legen Sie manuell ein Root-Passwort fest.

Root-Benutzer aktivieren/deaktivieren

  1. Apple-Menü > Systemeinstellungen > Benutzer & Gruppen.
  2. Klicken Sie auf Schloss, geben Admin-Daten ein.
  3. Anmeldeoptionen > Beitreten (oder Bearbeiten).
  4. Öffnen Sie Verzeichnisdienstprogramm.
  5. Schloss entsperren.
  6. Editieren > Root-Benutzer aktivieren/deaktivieren & Passwort setzen.

Als Root anmelden

  1. Abmelden.
  2. "root" und Passwort eingeben (oder "Andere" wählen).

Deaktivieren Sie Root danach.

Root-Passwort ändern

  1. Systemeinstellungen > Benutzer & Gruppen.
  2. Schloss entsperren.
  3. Anmeldeoptionen > Beitreten.
  4. Verzeichnisdienstprogramm öffnen.
  5. Schloss entsperren.
  6. Editieren > Root-Passwort ändern.

Mehr Infos auf Apples Support-Seite. Dieses Video zeigt den Prozess.

Nicht jeder konnte die Lücke reproduzieren; Ergin wurde kritisiert, sie öffentlich zu machen. High Sierra hatte schon Startprobleme wie ungeschützten Keychain-Zugriff.

Bild: Twitter