macOS High Sierra ist aktuell von einer erheblichen Sicherheitslücke betroffen, die nahezu jeder ausnutzen kann. Apple arbeitet bereits an einem Fix. Wann es erscheint, ist ungewiss.
Diese Sicherheitslücke ist so extrem, dass einem der Mund offen stehen bleibt: Faktisch jeder mit dem Wissen um ihr bestehen, vermag sie auszunutzen, um sich Adminrechte auf einem Mac zu verschaffen. Dazu ist es lediglich nötig sich mit dem Benutzernamen „root“ und einem leer gelassenen Passwortfeld am Mac anzumelden oder auf selbige Weise den Schutz der Sicherheitsoptionen in den Systemeinstellungen aufzuheben.
Apple arbeitet an Hotfix
Wir haben das Szenario in der Redaktion nachgestellt und fanden die Entdeckung, die ein Mac-Entwickler gemacht hatte, bestätigt. Taucht beim ersten Anlauf noch eine Fehlermeldung auf, klappt der Zugriff beim zweiten Versuch anstandslos.
Dear @AppleSupport, we noticed a *HUGE* security issue at MacOS High Sierra. Anyone can login as "root" with empty password after clicking on login button several times. Are you aware of it @Apple?
— Lemi Orhan Ergin (@lemiorhan) 28. November 2017
Der Root-Account ist der heilige Gral eines Unix-Betriebssystems und noch machtvoller als der macOS-Administratorbenutzer. Apple arbeitet bereits an einem Patch, wie Sprecher des Unternehmens erklärten. Wann dieser erscheint, ist aber noch ungewiss.
Diese Lücke ist nicht die erste gravierende Sicherheitsschwäche, die macOS in letzter Zeit zeigte, wenn auch die gefährlichste. Zuvor bestand lange Zeit die Möglichkeit, auf den Schlüsselbund eines Nutzers zuzugreifen. Hierfür waren allerdings Kenntnisse etwas versierterer Angreifer erforderlich.