macOS High Sierra: Fehler kann Root ohne Passwort erlauben

Das ist ein doch schwerer Fehler, der gerade das macOS-System High Sierra betrifft. Normalerweise muss man sich, wenn man bestimmte Dinge im System ändern will, mit einem Admin-Account authentifizieren. Nutzername und Passwort eben. Das große Problem? Apple lässt den Zugriff auch ohne Passwort, einfach über den Systemnutzer und -administrator „root“ zu. Ihr wollt das nachvollziehen? Geht einmal in die Systemeinstellungen und versucht im Bereich Benutzer etwas zu ändern. Der Admin-Account muss sich autorisieren. Nutzt man aber den Anwender root ohne Passwort – und probiert ein paar Mal, dann ist man drin. Bei mir ging es so: Nicht auf „Schutz aufheben“ klicken, sondern einfach mit Return bestätigen.

Was das für euch bedeutet? Dass ihr euren Mac mit High Sierra nicht aus den Augen lassen solltet. Wichtig: Das Ausprobieren kann einen Nutzer root ohne Passwort erstellen, stellt also sicher, dass ihr den Root-Nutzer in den Einstellungen mit einem Passwort ausstattet.

Apple beschreibt das Deaktivieren auch auf einer dedizierten Seite:

Den root-Benutzer aktivieren oder deaktivieren

  1. Wählen Sie das Menü „Apple“ (?) > „Systemeinstellungen“, und klicken Sie anschließend auf „Benutzer & Gruppen“ (oder „Accounts“).
  2. Klicken Sie auf das Schlosssymbol, und geben Sie anschließend den Benutzernamen und das Passwort für einen Administratoraccount ein.
  3. Klicken Sie auf „Anmeldeoptionen“.
  4. Klicken Sie auf „Verbinden“ (oder „Bearbeiten“).
  5. Klicken Sie auf „Verzeichnisdienste öffnen“.
  6. Klicken Sie im Fenster „Verzeichnisdienste“ auf das Schlosssymbol, und geben Sie den Benutzernamen und das Passwort für einen Administratoraccount ein.
  7. Führen Sie in der Menüleiste der Verzeichnisdienste Folgendes aus:
    • Wählen Sie „Bearbeiten“ > „root-Benutzer aktivieren“, und geben Sie anschließend das Passwort ein, das Sie für den root-Benutzer verwenden möchten.
    • Oder wählen Sie „Bearbeiten“ > „root-Benutzer deaktivieren“.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

28 Kommentare

  1. (2ter Versuch) Noch eins oben drauf: Meldet euren aktuellen User ab und ihr könnt euch mit root/Kein Passwort anmelden…

  2. Och nee bitte nicht…

  3. Apple schießt einen Bock nach dem anderen das wird immer schlimmer!

  4. Hm, ist root auf modernen Systemen wie Apple nicht standardmäßig deaktiviert, so wie der „Administrator“ bei W10? SCNR

  5. Wahnsinn!! Danke für die Info caschy. Für wichtige und schnelle Infos über Sicherheitslücken kann ich mir heise.de in Zukunft sparen: hier finden sich die wirklich wichtigen Infos mal wieder schneller!

  6. Da werden wohl ein paar Entwickler eine Nachtschicht einlegen müssen, das ist wirklich eine massive Lücke

  7. Ich bin ein wenig verunsichert, bei mir ist „root“ standardmäßig deaktiviert und mir wird angeboten, diesen bei Bedarf aktivieren zu können. Ich nutze macOS High Sierra letzte stabile Version. Also trifft es nur diejenigen, die den „root“ Zugang wie auch immer aktiviert haben? Ansonsten arbeite ich weiterhin über meinen Administrator Account.

  8. @catopuma: es trifft alle. Durch das Eingeben von „Root“ erstellt das System einen neuen Nutzer mit eben den entsprechenden „Root“-Privilegien.
    Ich bleibe sicher weiterhin bei Sierra, High Sierra kommt mir nicht auf meinen Mac drauf, so ein Flickwerk, wie das ist… Apple müsste 2018 eigentlich ein High-High-Sierra rausbringen, bei den ganzen Bugs 🙁 wohin sind denn nur die Qualitätsstandards abgesunken 🙁

  9. Drohender Atomkrieg? Weltuntergang? Nein, eine Sicherheitslücke in einem Betriebsystem. Für Bild.de trotzdem eine Breaking News mit Laufband auf der Hauptseite.

  10. @HO: „Eine Sicherheitslücke in einem Betriebssystem“… Du bist lustig… Vollen Systemzugriff ohne Passwort zu erlangen ist so ziemlich das schlimmste was passieren kann. Aber ist ja Apple. also sagen wir einfach „Naja, ist ja kein Atomkrieg“…….

  11. Mhh, komme bis zum Punkt 6. Die in Punkt 7 erwähnte Auswahl erscheint bei mir so nicht.
    Einen Menuepunkt bearbeiten kann ich nicht auswählen. Es erscheint nur unten ein Bleistiftsymbol. Wenn ich das wähle, ist von root oder Rootnutzer weit und breit nichts zu sehen … ;-(

  12. iHO versucht es natürlich runter zu spielen. Auch wenn es ein Disaster ist…

  13. Natürlich ist das eine Sache, die behoben werden muss. Auf der anderen Seite aber ist auch das eine Lücke, zu deren Ausnutzung der Angreifer direkten Zugriff auf das Gerät haben muss, soweit ich das richtig verstanden habe. Und wenn es erst soweit ist, dass sich ein Dritter unbefugten Zugriff auf das Gerät verschafft hat, hat man vielleicht unter Umständen auch ganz andere Probleme.

  14. @Chris: Bei aktiviertem Screensharing klappt es wohl in Netzwerken auch via VNC…..

  15. @Schwupps, du musst oben in die menüleiste gehen nicht ins fenster.
    dort gibt es unter BEARBEITEN den Punkt ‚root-Passwort ändern …‘ und ‚root-Benutzer deaktivieren‘.
    hier ist ein link mit bildern dazu
    http://osxdaily.com/2017/11/28/macos-high-sierra-root-login-without-password-bug/

  16. Also ich kann die Beschwichtigungsversuche einiger User nicht verstehen. Da kann es sich meiner Meinung nach nur um 0815 User handeln, deren Daten sowieso jedesmal in eine „kostenlose“ Cloud landen. Ich arbeite in der Forschung und das meiste Geld in der IT geht sowieso schon für Gegenmaßnahmen der Wirtschaftsspionage drauf. Heute wurden erstmal alle Macs fürs HomeOffice einkassiert. So eine schwere Sicherheitslücke habe ich in 25 Apple Nutzung nicht erlebt. Vielleicht sollte man das Geld nicht wie eine Angela Ahrendts dafür verplempern ob der Blumentopf im Apple Store jetzt weiter rechts oder links steht.

  17. mit genügend krimineller Energie läßt sich jedes Betriebssystem „aushebeln“.
    Und wenn die IT doch so viel Geld für Sicherheit ausgibt: ist ja eigenartig, dass sie die Root Lücke nicht selbst bemerkt haben.

  18. @Holgi

    Deshalb läuft in der Firma selbstverständlich ein angepasstes Linux. Aber jeden HomeOffice Rechner kann man nicht kontrollieren und vertraut auf die bestehende Sicherheitsarchitektur. Klar, auf den Rechnern sollen sowieso keine sensiblen Daten gespeichert werden. Aber jeder kennt das, wenn man mal einen Vorentwurf daheim beginnt oder auf Firmenmails zugreift. Mich macht es einfach nur fassungslos, wie bei einem Milliardenunternehmen so ein Fehler passieren kann. Wie reden hier nicht von 3-4 IT-Nerds die im Keller mal ein OS zusammenschustern.

  19. Da fragt man sich, was Apple mit dem ganzen Geld macht…

  20. Es ist doch nur das beste und aktuellste MacOS betroffen, da bin ich aber froh dass Apple für meinen Mini keine Aktualisierungen mehr seit 10.11.6 anbietet. Ok, die nerven mich schon mit dem „kostenlosen“ Upgrade, aber herunterladen und installieren darf ich es nicht. Noch so ein Fail von Apple, weshalb meist W10 auf dem Mini benutzt wird.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.