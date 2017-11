macOS-Lücke: Root per Mausklick

Sicherheitsexperten predigen seit langem, für die tägliche Arbeit am Rechner einen einfachen Benutzer-Account zu verwenden. Denn erhalten Angreifer Zugriff auf die Maschine, sind ihre Möglichkeiten begrenzt. Für die Nutzer von macOS High Sierra gilt dieser Tipp momentan nicht mehr. Durch einen simplen Trick lässt sich aus dem Benutzerkontext ein ungeschütztes Root-Konto erstellen.

Über manche Schwachstellen lässt sich nur wundern.

Die Nutzer von macOS High Sierra in den Versionen 10.13.1 und 10.13.2 Beta sehen sich zurzeit einer gravierenden Sicherheitslücke ausgesetzt. Das berichtet das Security-Portal "Bleeping Computer" [1]. So fand der türkische Software-Entwickler Lemi Orhan Ergin einen Weg, um aus dem Benutzerkontext heraus einen Root-Account anzulegen.



Hierfür muss ein Angreifer lediglich die Systemeinstellungen öffnen, in den Bereich Benutzer und Gruppen wechseln, das Schloss-Symbol unten links anklicken, "root" in das Feld für den Usernamen eintippen, den Mauszeiger in das Passwortfeld bewegen und den Unlock-Button wiederholt klicken, bis der neue Root-Benutzer angelegt ist. Dieser ist durch kein Passwort geschützt und lässt sich sogar von außen ansteuern. Nicht möglich ist der Trick, wenn bereits ein Root-Konto besteht, weshalb Nutzer sicherheitshalber einen solchen Account samt Passwort anlegen sollten. Apple arbeite bereits an einem Patch, um die Lücke zu schließen.