Apple veröffentlicht Fix für die Sicherheitslücke, durch die sich JEDER an einem High Sierra Mac anmelden konnte

Die Zahl der Verstöße und Sicherheitslücken ist in den letzten Jahren stark gestiegen, aber die neueste, die Apples macOS High Sierra betrifft, ist etwas anderes.

Während die meisten Fehler nur von Hackern oder Personen mit einem gewissen Maß an technischem Wissen ausgenutzt werden können, könnte eine kürzlich in der Mac-Software gefundene Schwachstelle von jedem ausgenutzt werden – einschließlich Ihnen.

Wenn Sie High Sierra 10.13.1 ausführen, kann sich jeder bei Ihrem Konto und Ihren Einstellungen anmelden, indem Sie einfach das Wort „root“ in das Feld „Benutzername“ eingeben. Das ist richtig, Sie können Zugriff auf ein ganzes Laufwerk, persönliche Dateien, Kontoeinstellungen (einschließlich der Sicherheits- und Datenschutzeinstellungen) erhalten und sogar Software, einschließlich Malware, mit einer einfachen Anmeldung installieren.

Es gab eine vorübergehende Problemumgehung (Details unten), aber Apple hat seitdem eine dauerhafte Lösung in Form eines Sicherheitsupdates namens 2017-001 veröffentlicht. Das am 29. November veröffentlichte Update ist für jeden verfügbar, der macOS High Sierra 10.13 und macOS High Sierra 10.13.1 verwendet, da der Fehler macOS Sierra 10.12.6 oder früher nicht betrifft. Apple listet den Fehler als „logischen Fehler bei der Validierung von Anmeldeinformationen“ auf.

Installieren Sie das Sicherheitsupdate von Apple

So aktualisieren Sie auf die neueste Software und installieren dieses Sicherheitsupdate:

1. Öffnen Sie den App Store
2. Klicken Sie in der Symbolleiste auf Updates
3. Klicken Sie auf die Update-Schaltflächen neben jedem Eintrag, um alle aufgelisteten Updates herunterzuladen und zu installieren

Wenn Ihr Mac für automatische Updates eingerichtet ist oder Sie überprüfen möchten, ob der Update-Vorgang funktioniert hat:

1. Öffnen Sie die Terminal-App in den Dienstprogrammen, die sich im Anwendungsordner befinden.
2. Geben Sie what /usr/libexec/opendirectoryd ein und drücken Sie die Eingabetaste
3. Wenn das Sicherheitsupdate 2017-001 erfolgreich installiert wurde, sehen Sie eine dieser Projektversionsnummern:
   opendirectoryd-483.1.5 auf macOS High Sierra 10.13
   opendirectoryd-483.20.7 auf macOS High Sierra 10.13.1

Wenn Sie Ihren Mac rooten müssen, nachdem dieses Sicherheitsupdate installiert wurde, müssen Sie den Root-Benutzer erneut aktivieren und das Passwort des Root-Benutzers ändern. Schritt-für-Schritt-Details finden Sie am Ende dieses Artikels.

Der Fehler scheint zuerst vom Sicherheitsforscher Lemi Orhan Ergin, Gründer von Software Craftsman Turkey, identifiziert worden zu sein, der die Details auf Twitter veröffentlichte. In dem Tweet schrieb Ergin:„Lieber @AppleSupport, wir haben ein *RIESIGES* Sicherheitsproblem bei MacOS High Sierra bemerkt. Jeder kann sich als „root“ mit leerem Passwort anmelden, nachdem er mehrmals auf die Schaltfläche „Anmelden“ geklickt hat. Ist dir das bewusst, @Apple?“

Er fügte dann hinzu:„Sie können auf [den Fehler] über Systemeinstellungen> Benutzer &Gruppen> Klicken Sie auf das Schloss klicken, um Änderungen vorzunehmen. Verwenden Sie dann „root“ ohne Passwort. Und probiere es mehrmals aus. Das Ergebnis ist unglaublich!“

Apple hat darauf reagiert und erklärt, dass es an einem Software-Update arbeitet, um dieses Problem zu beheben, und eine vorübergehende Lösung herausgegeben hat (Anweisungen unten).

Mac-Fehler in High Sierra:So schützen Sie sich

Während Sie darauf warten, dass Apple einen Software-Fix veröffentlicht, ist es ratsam, manuell ein Root-Passwort festzulegen, um unbefugten Zugriff auf Ihren Mac zu verhindern.

Aktivieren oder deaktivieren Sie den Root-Benutzer

1. Klicken Sie oben links auf das Apple-Menü (), wählen Sie Systemeinstellungen und öffnen Sie Benutzer &Gruppen (oder Konten).
2. Klicken Sie auf das Schlosssymbol ( ) und geben Sie Ihren Administratornamen und Ihr Passwort ein.
3. Wählen Sie Anmeldeoptionen und klicken Sie auf Beitreten (oder Bearbeiten).
4. Öffnen Sie das Verzeichnisdienstprogramm.
5. Klicken Sie erneut auf das Schlosssymbol im Fenster „Verzeichnisdienste“ und geben Sie den Administratornamen und das Kennwort erneut ein.
6. Aus dem Menü im Verzeichnisdienstprogramm:Wählen Sie „Bearbeiten“, „Root-Benutzer aktivieren“, und geben Sie dann das Kennwort ein, das Sie für den Root-Benutzer verwenden möchten, oder wählen Sie „Bearbeiten“, „Root-Benutzer deaktivieren“.

Melden Sie sich als Root-Benutzer an

Nachdem Sie einen Root-Benutzer aktiviert haben, kann nur die Person, die als dieser Root-Benutzer angemeldet ist, Änderungen auf Root-Ebene vornehmen. So melden Sie sich als Root-Benutzer an:

1. Klicken Sie auf das Apple-Symbol und wählen Sie Abmelden.
2. Wenn Sie zur Anmeldung aufgefordert werden, geben Sie den Benutzernamen „root“ und das oben erstellte Passwort ein.
   Wenn das Anmeldefenster eine Liste von Benutzern anzeigt, klicken Sie auf Andere und melden Sie sich dann an.

Denken Sie daran, den Root-Benutzer nach Abschluss Ihrer Aufgabe zu deaktivieren.

Ändern Sie das Root-Passwort

1. Öffnen Sie die Systemeinstellungen im Apple-Menü und wählen Sie Benutzer &Gruppen (oder Konten).
2. Klicken Sie auf das Schlosssymbol und melden Sie sich an.
3. Klicken Sie auf Anmeldeoptionen und dann auf Beitreten (oder Bearbeiten).
4. Öffnen Sie das Verzeichnisdienstprogramm.
5. Klicken Sie im Fenster „Verzeichnisdienste“ auf das Schlosssymbol und geben Sie die Anmeldedaten erneut ein.
6. Wählen Sie im Menü Bearbeiten und dann Root-Passwort ändern.

Die vollständigen Anweisungen und mehr über Root-Benutzer finden Sie auf der offiziellen Support-Seite von Apple.

Dieses Video führt Sie auch durch den Vorgang:

Nicht jeder war in der Lage, den Fehler zu replizieren, und Ergin wurde heftig dafür kritisiert, den Fehler öffentlich gemacht zu haben, anstatt ein Bug-Bounty-Programm zu durchlaufen oder die Schwachstelle über die richtigen Kanäle direkt gegenüber Apple hervorzuheben.

Dies ist nicht der erste Fehler in High Sierra. Am Tag des Starts wurde auf dem System bösartiger Code gefunden, der ohne Passwort auf Schlüsselbunddaten zugreifen und diese stehlen konnte. Ein weiterer Fehler entlarvte das Passwort eines Benutzers als Passworthinweis, wenn er versuchte, eine verschlüsselte Partition zu entsperren.

Bild:Twitter