{"id":198118,"date":"2017-11-29T13:26:19","date_gmt":"2017-11-29T12:26:19","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=198118"},"modified":"2017-11-30T14:39:19","modified_gmt":"2017-11-30T13:39:19","slug":"fette-passwortlcke-in-macos-high-sierra","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/11\/29\/fette-passwortlcke-in-macos-high-sierra\/","title":{"rendered":"Fette Passwortl&uuml;cke in macOS High Sierra"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Apple ist in dem im September 2017 freigegebenen macOS High Sierra ein fetter Bug unterlaufen: Die Anmeldung an einem Benutzerkonto mit root-Berechtigungen ist mit einem leeren Passwort m\u00f6glich.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/ca8511c4caa74ec39170762483659aa9\" alt=\"\" width=\"1\" height=\"1\" \/>Entwickler Lemi Orhan Ergin hat diese L\u00fccke gerade erst entdeckt. Dritte mit physischem Zugriff auf ein mac OS-Ger\u00e4t k\u00f6nnen auf pers\u00f6nliche Dateien oder Systemdateien zugreifen, ohne dass er Administrator-Zugangsdaten ben\u00f6tigt. Der Hintergrund ist, dass das Administratorkonto ein leeres Kennwort zul\u00e4sst.<\/p>\n<p>Betroffen sind Systeme, wo das Gastkonto nicht deaktiviert und das Kennwort f\u00fcr den root-Zugriff nicht ge\u00e4ndert wurde. Denn standardm\u00e4\u00dfig ist dieses Kennwort leer, so dass die meisten der typischen Mac-Besitzer genau in dieser Falle sitzen. Entwickler Lemi Orhan Ergin hat \u00f6ffentlich bei Apple <a href=\"https:\/\/twitter.com\/lemiorhan\/status\/935578694541770752\" target=\"_blank\" rel=\"noopener\">\u00fcber Twitter<\/a> nachgefragt, wie die L\u00fccke gesehen wird.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">You can access it via System Preferences&gt;Users &amp; Groups&gt;Click the lock to make changes. Then use \"root\" with no password. And try it for several times. Result is unbelievable! <a href=\"https:\/\/t.co\/m11qrEvECs\">pic.twitter.com\/m11qrEvECs<\/a><\/p>\n<p>\u2014 Lemi Orhan Ergin (@lemiorhan) <a href=\"https:\/\/twitter.com\/lemiorhan\/status\/935581020774117381?ref_src=twsrc%5Etfw\">28. November 2017<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>War aus zwei Gr\u00fcnden wohl ungeschickt. Nun ist die Geschichte \u00f6ffentlich \u2013 und bei einer Meldung im Bug-Bounty-Programm h\u00e4tte er m\u00f6glicherweise eine Pr\u00e4mie bekommen. Wie dem aus sei, <a href=\"https:\/\/9to5mac.com\/2017\/11\/28\/how-to-set-root-password\/\" target=\"_blank\" rel=\"noopener\">bei 9to5.mac<\/a> hat Apple eine Stellungnahme abgegeben:<\/p>\n<blockquote><p>\"We are working on a software update to address this issue. In the meantime, setting a root password prevents unauthorized access to your Mac. To enable the Root User and set a password, please follow the instructions <a href=\"https:\/\/support.apple.com\/en-us\/HT204012\" target=\"_blank\" rel=\"noopener\">here<\/a>. If a Root User is already enabled, to ensure a blank password is not set, please follow the instructions from the 'Change the root password' section.\"<\/p><\/blockquote>\n<p>Die Botschaft: Apple arbeitet an einem Software-Update, der das beseitigen wird. Der Workaround ist einfach: Man muss einfach ein Kennwort f\u00fcr den Root Benutzer setzen, damit ein Kennwort abgefragt wird. Wie dies funktioniert, ist im verlinkten Apple-Dokument sowie <a href=\"https:\/\/9to5mac.com\/2017\/11\/28\/how-to-set-root-password\/\" target=\"_blank\" rel=\"noopener\">bei 9to5.mac<\/a> nachzulesen.<\/p>\n<p>Fix ist da (siehe auch Kommentare). Was man wissen sollte, findet sich im Artikel\u00a0<a href=\"https:\/\/borncity.com\/blog\/2017\/11\/30\/macos-high-sierra-sicherheitsupdate-mac-os-10-13-1-verfgbar\/\" rel=\"bookmark\">macOS High Sierra Sicherheitsupdate (mac OS 10.13.1)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Apple ist in dem im September 2017 freigegebenen macOS High Sierra ein fetter Bug unterlaufen: Die Anmeldung an einem Benutzerkonto mit root-Berechtigungen ist mit einem leeren Passwort m\u00f6glich.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1063,426],"tags":[6234,4328],"class_list":["post-198118","post","type-post","status-publish","format-standard","hentry","category-mac-os-x","category-sicherheit","tag-macos","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198118","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=198118"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/198118\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=198118"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=198118"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=198118"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}