Bei macOS High Sierra wurde eine erhebliche Sicherheitslücke entdeckt, die es potenziell jeder Person ermöglicht, sich ohne Passwort bei einem Mac mit vollen Root-Verw altungsfunktionen anzumelden.

Dies ist ein dringendes Sicherheitsproblem, und obwohl ein Software-Update bald verfügbar sein sollte, um das Problem zu beheben, wird dieser Artikel detailliert beschreiben, wie Sie Ihren Mac vor dieser Sicherheitslücke schützen können.

Wichtiges Update: Apple hat das Sicherheitsupdate 2017-001 für macOS High Sierra veröffentlicht, um den Fehler bei der Root-Anmeldung zu beheben. Laden Sie es jetzt herunter. Wenn Sie macOS High Sierra ausführen, laden Sie das Update so bald wie möglich auf Ihren Mac herunter.

Was ist der Fehler beim Root-Login und warum ist er wichtig?

Als schnellen Hintergrund erlaubt die Sicherheitslücke einer Person, „root“ als Benutzernamen einzugeben und sich dann ohne Passwort sofort als root am Mac anzumelden. Die passwortlose Root-Anmeldung kann direkt mit einem physischen Computer auf dem allgemeinen Benutzeranmeldebildschirm erfolgen, der beim Booten angezeigt wird, über die Systemeinstellungen, die normalerweise eine Authentifizierung erfordern, oder sogar über VNC und Remote-Login, wenn die beiden letzteren Remote-Zugriffsfunktionen aktiviert sind. Jedes dieser Szenarien ermöglicht dann vollen Zugriff auf den MacOS High Sierra-Computer, ohne jemals ein Passwort zu verwenden.

Ein Root-Benutzerkonto bietet den höchstmöglichen Systemzugriff auf einem MacOS oder einem beliebigen Unix-basierten Betriebssystem. Root gewährt alle Funktionen administrativer Benutzerkonten auf dem Computer zusätzlich zu uneingeschränktem Zugriff auf alle Systemebenen Komponenten oder Dateien.

Mac-Benutzer, die von der Sicherheitslücke betroffen sind, schließen jeden ein, der die Betaversionen von macOS High Sierra 10.13, 10.13.1 oder 10.13.2 ausführt und zuvor noch nicht das Root-Konto aktiviert oder das Passwort eines Root-Benutzerkontos auf dem Mac geändert hat zuvor, das ist die überwiegende Mehrheit der Mac-Benutzer, die High Sierra ausführen.

Klingt schlecht, oder? Das ist es, aber es gibt eine ziemlich einfache Problemumgehung, die verhindert, dass dieser Sicherheitsfehler ein Problem darstellt. Sie müssen lediglich ein Root-Passwort auf dem betroffenen Mac festlegen.

Wie man Root-Login ohne Passwort in MacOS High Sierra verhindert

Es gibt zwei Ansätze, um die Root-Anmeldung ohne Passwort auf einem MacOS High Sierra-Rechner zu verhindern. Sie können das Verzeichnisdienstprogramm oder die Befehlszeile verwenden. Wir decken beides ab. Das Verzeichnisdienstprogramm ist für die meisten Benutzer möglicherweise einfacher, da es vollständig über die grafische Benutzeroberfläche auf dem Mac ausgeführt wird, während der Befehlszeilenansatz textbasiert ist und allgemein als komplexer angesehen wird.

Verwenden des Verzeichnisdienstprogramms zum Sperren des Stammverzeichnisses

1. Öffnen Sie Spotlight auf dem Mac, indem Sie die Befehlstaste+Leertaste drücken (oder auf das Spotlight-Symbol in der oberen rechten Ecke der Menüleiste klicken), geben Sie „Directory Utility“ ein und drücken Sie die Eingabetaste, um die App zu starten



2. Klicken Sie auf das kleine Schlosssymbol in der Ecke und authentifizieren Sie sich mit einem Admin-Konto-Login



3. Öffnen Sie nun das Menü „Bearbeiten“ und wählen Sie „Root-Passwort ändern…“



4. Geben Sie ein Passwort für das Root-Benutzerkonto ein und bestätigen Sie es. Klicken Sie dann auf „OK“



5. Verzeichnisdienstprogramm schließen

Wenn das Root-Benutzerkonto noch nicht aktiviert ist, wählen Sie „Root-Benutzer aktivieren“ und legen Sie stattdessen ein Passwort fest.

Im Wesentlichen müssen Sie nur dem root-Konto ein Passwort zuweisen, was bedeutet, dass die Anmeldung mit root dann ein Passwort erfordert, wie es sein sollte. Wenn Sie Root auf diese Weise kein Passwort zuweisen, akzeptiert erstaunlicherweise ein macOS High Sierra-Computer überhaupt eine Root-Anmeldung ohne Passwort.

Verwenden der Befehlszeile zum Zuweisen eines Root-Passworts

Benutzer, die in macOS lieber die Befehlszeile verwenden möchten, können ein Root-Passwort auch mit sudo und dem normalen alten Befehl passwd festlegen oder zuweisen.

1. Öffnen Sie die Terminal-Anwendung unter /Applications/Utilities/
2. Geben Sie die folgende Syntax genau in das Terminal ein und drücken Sie dann die Eingabetaste:

sudo passwd root

3. Geben Sie Ihr Admin-Passwort ein, um sich zu authentifizieren, und drücken Sie die Eingabetaste
4. Geben Sie unter „Neues Passwort“ ein Passwort ein, das Sie nicht vergessen werden, drücken Sie die Eingabetaste und bestätigen Sie es

Stellen Sie sicher, dass Sie das Root-Passwort auf etwas setzen, an das Sie sich erinnern werden, oder vielleicht sogar mit Ihrem Admin-Passwort übereinstimmen.

Woher weiß ich, ob mein Mac von dem Fehler bei der passwortfreien Root-Anmeldung betroffen ist?

Es scheint, dass nur macOS High Sierra-Rechner von dieser Sicherheitslücke betroffen sind. Der einfachste Weg, um zu überprüfen, ob Ihr Mac für den Root-Login-Bug anfällig ist, besteht darin, sich als Root ohne Passwort anzumelden.

Sie können dies über den allgemeinen Boot-Anmeldebildschirm oder über jedes Admin-Authentifizierungsfenster (durch Klicken auf das Schlosssymbol) tun, das in den Systemeinstellungen wie FileVault oder Benutzer & Gruppen verfügbar ist.

Geben Sie einfach ‚root‘ als Benutzer ein, geben Sie kein Passwort ein und klicken Sie zweimal auf „Entsperren“ – wenn Sie von dem Fehler betroffen sind, werden Sie als root angemeldet oder erh alten Root-Rechte. Sie müssen zweimal auf „Entsperren“ klicken, wenn Sie das erste Mal auf die Sch altfläche „Entsperren“ klicken, wird das Root-Konto mit einem leeren Passwort erstellt, und wenn Sie das zweite Mal auf „Entsperren“ klicken, meldet es sich an und ermöglicht vollen Root-Zugriff.

Der Fehler, bei dem es sich im Grunde um einen 0day-Root-Exploit handelt, wurde erstmals von @lemiorhan auf Twitter öffentlich gemeldet und hat aufgrund der potenziellen Schwere der Auswirkungen schnell an Bedeutung gewonnen und die Aufmerksamkeit der Medien auf sich gezogen. Apple ist sich des Problems offenbar bewusst und arbeitet an einem Software-Update, um das Problem zu beheben.

Wirkt sich der Fehler beim Root-Login auf macOS Sierra, Mac OS X El Capitan oder früher aus?

Der passwortlose Root-Login-Fehler scheint nur macOS High Sierra 10.13.x zu betreffen und scheint sich nicht auf frühere Versionen der macOS- und Mac OS X-Systemsoftware auszuwirken.

Zusätzlich, wenn Sie Root zuvor über die Befehlszeile oder das Verzeichnisdienstprogramm aktiviert oder das Root-Passwort zu einem anderen Zeitpunkt geändert hatten, würde der Fehler auf einem solchen macOS High Sierra-Computer nicht funktionieren.

Denken Sie daran, Apple ist sich dieses Problems bewusst und wird in naher Zukunft ein Sicherheitsupdate veröffentlichen, um den Fehler zu beheben. In der Zwischenzeit tun Sie sich selbst einen Gefallen und legen oder ändern das Root-Passwort auf Macs mit macOS High Sierra, um sie vor unbefugtem Zugriff auf den Computer und alle seine Daten und Inh alte zu schützen.