Klaffende Sicherheitslücke: macOS High Sierra lässt sich ohne Passwort entsperren

[Marcel Bresink]

ABER, für 99 % der Nutzer ohne Auswirkungen!

Du brauchst nur die Beiträge in diesem Forum zu durchsuchen, um festzustellen, dass sich alle paar Tage Leute hier gemeldet haben, die plötzlich Probleme mit dem root-Benutzer hatten. Hier ein Beispiel von vorgestern: https://www.apfeltalk.de/community/...ekannt-bei-der-abmeldung.524678/#post-5178540

Wenn ein fremder Angreifer meinen Mac in den Händen hält und sich über das "root-Loch" anmelden will, ist vorher schon so einiges schief gelaufen (das gilt für Zugriff über Remote auch!).

Dann klär uns alle mal auf, was da schiefgelaufen ist.

 

[crizz01]

Dann klär uns alle mal auf, was da schiefgelaufen ist.

Er hat die Haustür aufgebrochen?


Man muss sich mal vor Augen halten WER gefährdet ist, also wer öffentlich zugängliche Rechner stehen hat bei den der Root Account nicht eh schon durch Passwort gesichert ist?

Deiner?

 

[franky273]

Bei phsyikalischem Zugriff auf den Rechner, können benutzer Passwörter doch auch durch den recovery boot zurückgesetzt werden oder?
Ich seh Lücken die remote klappen auch als erheblich dramatischer an. Zumindest für den normalen Heimanwender. In einem Firmennetzwerk mag das anders aussehen, aber ob ich da mit Macs arbeiten will, keine Ahnung.

 

[Marcel Bresink]

Er hat die Haustür aufgebrochen?

Nein, es ist kein physischer Zugriff nötig.

Man muss sich mal vor Augen halten WER gefährdet ist, also wer öffentlich zugängliche Rechner stehen hat

Es ist nicht nötig, dass der Rechner öffentlich zugänglich ist. Es reicht, wenn er einen per Kennwort gesicherten Netzwerkdienst anbietet.

bei den der Root Account nicht eh schon durch Passwort gesichert ist?

Den root-Account zu sperren statt ihn durch ein Kennwort unsicher zu machen, war bisher (also in den Systemen ohne den Bug) die sicherstmögliche Einstellung.

Bei phsyikalischem Zugriff auf den Rechner, können benutzer Passwörter doch auch durch den recovery boot zurückgesetzt werden oder?

Nein, nicht wenn der Rechner entweder durch FileVault oder durch ein Firmware-Kennwort geschützt ist.

 

[banjip]

Hallo zusammen,

habe es bei mir mal getestet. Funktioniert nicht wie beschrieben. Das Schloss bei den Einstellungen bleibt gesperrt. Die Eingabe Maske "zittert" nur kurz und es passiert nichts weiter. Benutzer und Gastbenutzer aktiv. Root Benutzer zumindest im Feld der Benutzergruppen nicht ersichtlich. Aktuelle Version: 10.13.2 Beta (17C83a). Wurde hier das Problem bereits gelöst?

Danke für eure Unterstützung.

 

[Cohni]

Es kann sein, dass bei Dir der Patch automatisch installiert wurde. Schau mal im Appstore unter Updates nach.

 

[giesbert]

Aktuelle Version: 10.13.2 Beta (17C83a). Wurde hier das Problem bereits gelöst?

Hab ich auch. Gerade noch mal probiert: root ohne Passwort geht problemlos.

 

[Marcel Bresink]

10.13.2 Beta (17C83a). Wurde hier das Problem bereits gelöst?

Nein, für dieses Build gibt es noch keine Korrektur.

Das Programm "Systemeinstellungen" arbeitet hier etwas anders. Du musst die leere Kennworteingabe eventuell dreimal wiederholen und dabei sicherstellen, dass die Schreibmarke wirklich im leeren Kennwortfeld steht.

Das mit den Systemeinstellungen ist aber immer nur ein Beispiel. Es gibt noch Dutzende von anderen Möglichkeiten, diesen Fehler zu reproduzieren.

 

[NorbertM]

Kann es sein, dass man auf die gepatchte High Sierra aktuell keine Beta installieren kann? Hab das gerade über das Utility versucht, es wird aber kein Beta-Update angezeigt.

 

[ottomane]

So eine Beta willst du doch nicht freiwillig haben, oder?

 

[NorbertM]

Habe High Sierra wegen Pixelmator Pro installiert. Schon vor Wochen hatte ich es kurz im Einsatz und bin wegen eines Fehlers beim Booten wieder zuruck. Wollte jetzt mal testen, ob der von mir gemeldete Fehler inzwischen bereinigt wurde.

 

[Marcel Bresink]

Hab das gerade über das Utility versucht, es wird aber kein Beta-Update angezeigt.

Das liegt daran, dass Apple die Beta 5 offiziell zurückgezogen hatte.

Inzwischen ist Beta 6 verfügbar und das Sicherheitsproblem sollte behoben sein.