macOS High Sierra: Fehler kann Root ohne Passwort erlauben

Das ist ein doch schwerer Fehler, der gerade das macOS-System High Sierra betrifft. Normalerweise muss man sich, wenn man bestimmte Dinge im System ändern will, mit einem Admin-Account authentifizieren. Nutzername und Passwort eben. Das große Problem? Apple lässt den Zugriff auch ohne Passwort, einfach über den Systemnutzer und -administrator „root“ zu. Ihr wollt das nachvollziehen? Geht einmal in die Systemeinstellungen und versucht im Bereich Benutzer etwas zu ändern. Der Admin-Account muss sich autorisieren. Nutzt man aber den Anwender root ohne Passwort – und probiert ein paar Mal, dann ist man drin. Bei mir ging es so: Nicht auf „Schutz aufheben“ klicken, sondern einfach mit Return bestätigen.

Was das für euch bedeutet? Dass ihr euren Mac mit High Sierra nicht aus den Augen lassen solltet. Wichtig: Das Ausprobieren kann einen Nutzer root ohne Passwort erstellen, stellt also sicher, dass ihr den Root-Nutzer in den Einstellungen mit einem Passwort ausstattet.

Apple beschreibt das Deaktivieren auch auf einer dedizierten Seite:

Den root-Benutzer aktivieren oder deaktivieren

  1. Wählen Sie das Menü „Apple“ (?) > „Systemeinstellungen“, und klicken Sie anschließend auf „Benutzer & Gruppen“ (oder „Accounts“).
  2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
  3. Klicken Sie auf „Anmeldeoptionen“.
  4. Klicken Sie auf „Verbinden“ (oder „Bearbeiten“).
  5. Klicken Sie auf „Verzeichnisdienste öffnen“.
  6. Klicken Sie im Fenster „Verzeichnisdienste“ auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
  7. Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:
    • Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“, und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
    • Oder wählen Sie „Bearbeiten“ > „root-Benutzer deaktivieren“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

28 Kommentare

  1. (2ter Versuch) Noch eins oben drauf: Meldet euren aktuellen User ab und ihr könnt euch mit root/Kein Passwort anmelden…

  2. Och nee bitte nicht…

  3. Apple schießt einen Bock nach dem anderen das wird immer schlimmer!

  4. Wolfgang D. says:

    Hm, ist root auf modernen Systemen wie Apple nicht standardmäßig deaktiviert, so wie der „Administrator“ bei W10? SCNR

  5. Wahnsinn!! Danke für die Info caschy. Für wichtige und schnelle Infos über Sicherheitslücken kann ich mir heise.de in Zukunft sparen: hier finden sich die wirklich wichtigen Infos mal wieder schneller!

  6. Da werden wohl ein paar Entwickler eine Nachtschicht einlegen müssen, das ist wirklich eine massive Lücke

  7. Ich bin ein wenig verunsichert, bei mir ist „root“ standardmäßig deaktiviert und mir wird angeboten, diesen bei Bedarf aktivieren zu können. Ich nutze macOS High Sierra letzte stabile Version. Also trifft es nur diejenigen, die den „root“ Zugang wie auch immer aktiviert haben? Ansonsten arbeite ich weiterhin über meinen Administrator Account.

  8. @catopuma: es trifft alle. Durch das Eingeben von „Root“ erstellt das System einen neuen Nutzer mit eben den entsprechenden „Root“-Privilegien.
    Ich bleibe sicher weiterhin bei Sierra, High Sierra kommt mir nicht auf meinen Mac drauf, so ein Flickwerk, wie das ist… Apple müsste 2018 eigentlich ein High-High-Sierra rausbringen, bei den ganzen Bugs 🙁 wohin sind denn nur die Qualitätsstandards abgesunken 🙁

  9. Drohender Atomkrieg? Weltuntergang? Nein, eine Sicherheitslücke in einem Betriebsystem. Für Bild.de trotzdem eine Breaking News mit Laufband auf der Hauptseite.

  10. @HO: „Eine Sicherheitslücke in einem Betriebssystem“… Du bist lustig… Vollen Systemzugriff ohne Passwort zu erlangen ist so ziemlich das schlimmste was passieren kann. Aber ist ja Apple. also sagen wir einfach „Naja, ist ja kein Atomkrieg“…….

  11. Mhh, komme bis zum Punkt 6. Die in Punkt 7 erwähnte Auswahl erscheint bei mir so nicht.
    Einen Menuepunkt bearbeiten kann ich nicht auswählen. Es erscheint nur unten ein Bleistiftsymbol. Wenn ich das wähle, ist von root oder Rootnutzer weit und breit nichts zu sehen … ;-(

  12. iHO versucht es natürlich runter zu spielen. Auch wenn es ein Disaster ist…

  13. Natürlich ist das eine Sache, die behoben werden muss. Auf der anderen Seite aber ist auch das eine Lücke, zu deren Ausnutzung der Angreifer direkten Zugriff auf das Gerät haben muss, soweit ich das richtig verstanden habe. Und wenn es erst soweit ist, dass sich ein Dritter unbefugten Zugriff auf das Gerät verschafft hat, hat man vielleicht unter Umständen auch ganz andere Probleme.

  14. @Chris: Bei aktiviertem Screensharing klappt es wohl in Netzwerken auch via VNC…..

  15. @Schwupps, du musst oben in die menüleiste gehen nicht ins fenster.
    dort gibt es unter BEARBEITEN den Punkt ‚root-Passwort ändern …‘ und ‚root-Benutzer deaktivieren‘.
    hier ist ein link mit bildern dazu
    http://osxdaily.com/2017/11/28/macos-high-sierra-root-login-without-password-bug/

  16. Also ich kann die Beschwichtigungsversuche einiger User nicht verstehen. Da kann es sich meiner Meinung nach nur um 0815 User handeln, deren Daten sowieso jedesmal in eine „kostenlose“ Cloud landen. Ich arbeite in der Forschung und das meiste Geld in der IT geht sowieso schon für Gegenmaßnahmen der Wirtschaftsspionage drauf. Heute wurden erstmal alle Macs fürs HomeOffice einkassiert. So eine schwere Sicherheitslücke habe ich in 25 Apple Nutzung nicht erlebt. Vielleicht sollte man das Geld nicht wie eine Angela Ahrendts dafür verplempern ob der Blumentopf im Apple Store jetzt weiter rechts oder links steht.

  17. mit genügend krimineller Energie läßt sich jedes Betriebssystem „aushebeln“.
    Und wenn die IT doch so viel Geld für Sicherheit ausgibt: ist ja eigenartig, dass sie die Root Lücke nicht selbst bemerkt haben.

  18. @Holgi

    Deshalb läuft in der Firma selbstverständlich ein angepasstes Linux. Aber jeden HomeOffice Rechner kann man nicht kontrollieren und vertraut auf die bestehende Sicherheitsarchitektur. Klar, auf den Rechnern sollen sowieso keine sensiblen Daten gespeichert werden. Aber jeder kennt das, wenn man mal einen Vorentwurf daheim beginnt oder auf Firmenmails zugreift. Mich macht es einfach nur fassungslos, wie bei einem Milliardenunternehmen so ein Fehler passieren kann. Wie reden hier nicht von 3-4 IT-Nerds die im Keller mal ein OS zusammenschustern.

  19. Da fragt man sich, was Apple mit dem ganzen Geld macht…

  20. Wolfgang D. says:

    Es ist doch nur das beste und aktuellste MacOS betroffen, da bin ich aber froh dass Apple für meinen Mini keine Aktualisierungen mehr seit 10.11.6 anbietet. Ok, die nerven mich schon mit dem „kostenlosen“ Upgrade, aber herunterladen und installieren darf ich es nicht. Noch so ein Fail von Apple, weshalb meist W10 auf dem Mini benutzt wird.

  21. Warum auch immer wurde hier mein Link zu einem Twitter-Post gelöscht. Darin wird berichtet: „macos 10.13 bug isn’t limited to root in all circumstances; via ARD, you can log in as any existing user (e.g. _applepay) and share the screen of the logged-in user. also _uucp is allowed to log in“

  22. Da kann ich eigentlich den ganzen Passwortschutz am Mac komplett ausschalten. Ist wahrscheinlich auch nicht wirklich unsicherer.

    Dafür aber viel viel bequemer.

    Wobei, mach ich die sicherheitsrelevanten Sachen doch wieder an meinen Windows Rechner.

    Der ist sicherer, aktualisiert sich schön im Hintergrund ohne dass ich was bemerke und man hat keine Probleme damit.

    Vor allen Dingen wenn man nicht ein billig Gerät gekauft hat sondern was von einem ordentlichen Hersteller.

    Ist noch immer billiger als bei Apple.

    War natürlich das 5k Display iMac einfach klasse ist.

  23. Wenn ich bedenke dass ich den Mac gekauft habe um mehr Sicherheit zu haben.

    Jetzt mittlerweile ist es genau andersrum. Bei Windows funktioniert die Sicherheitsupdates laufen im Hintergrund ohne Probleme und das ich Zeit investieren muss.

    Bei Mac jede Betriebssystem Update Probleme mit nicht funktionierende Software. Probleme mit dies, Probleme mit das Sicherheit gleich null.
    Die ganze Zeit irgendwelche Updates die nicht richtig funktionieren und die richtig Zeit kosten.

  24. @Frank: Ich sehe durchaus, dass das ein Problem ist, denke aber nicht, dass man gleich Panik schieben muss. Wie gesagt ist der direkte Zugriff auf das Gerät nötig, ggf. reicht es auch, wie @Caschy eingewendet hat, wenn man den VNC-zugriff gewährt hat. Aber auch das räumt man doch im Grunde sowieso nur vertrauenswürdigen Personen ein. Klar, wer es drauf anlegt, kann das auch ausnutzen, aber ich denke auch, dass so eine Berichterstattung viele erst darauf bringt, das auch zu machen, sonst würden die meisten gar nicht erst mitbekommen, dass so eine Lücke existiert.

  25. Das ist wirklich Amateur Hour von Apple.

    Passwort für root vergeben geht auch ganz einfach, ohne sich durch die Menus zu hangeln: sudo passwd -u root

    Dann zwei mal das Passwort eintippen und am besten in den Passwortmanager der Wahl hinterlegen. Im Terminal erfolgt die Passworteingabe „blind“, man sieht nichts, nicht mal Platzhalter wie *****.

  26. Also mal ganz ehrlich, hat in diesem Punkt Apple versagt – 100% ! Einfach nur peinlich, die haben den Fehler verpennt zu beheben. Aber ist es die ganze Aufregung wert ? Nö ! Es vergeht kein Tag wo keine kritische Sicherheitslücke in Windows, Android oder sonst was auftaucht. Zugegeben nicht so ein peinlicher 😉 Eine Meldung ist es wert, aber dieses ganze künstliche aufgeblase von Hatern nervt.

  27. So eine kritische Lücke musst du in Windows erst mal finden…
    Hier treffen sich keine Hater auf sondern Betroffene die es eben nicht lustig finden das ihr Passwortschutz nichts wert ist…

    Das ist einfachste Sicherheit… Ich kann jetzt den Mac nicht alleine lassen weil jeder jetzt mal schnell Root werden kann…

    Wäre vergleichbar mit einem Auto Hersteller bei dem das Schliesssystem nach mehrmals an der Tür rütteln einfach aufmacht! Und zwar bei allen Modellen und fast egal wie alt…

    Da darf man sich schon aufregen. Vor allem wenn der Hersteller das System mit seiner Sicherheit bewirbt! Und eben diese auch von vielen Kaufgrund war!

Es kann einen Augenblick dauern, bis dein Kommentar erscheint.