FAUmac

der Blog des FAUmac-Teams

Inhalt

Gravierende Sicherheitslücke in macOS High Sierra

Aktuell gibt es eine schwerwiegende Sicherheitslücke in allen macOS High Sierra Versionen (bis einschließlich 10.13.2 Beta 5). Die auf Twitter unter dem Hashtag #iamroot diskutierte Lücke ermöglicht es, einem beliebigen Nutzer root-Rechte zu verschaffen. Öffentlich geworden ist die Lücke durch den Tweet eines türkischen Entwicklers, bekannt war die Lücke aber wohl schon länger.

Der Systembenutzer root ist unter macOS standardmäßig deaktiviert. Analog zu einigen Linux Distributionen wird dieser Account nicht direkt verwendet und hat auch kein Passwort gesetzt. Die jetzt bekannt gewordene Lücke schafft es aber, diesen Account ohne Passwort zu aktivieren.
Bis zur Veröffentlichung eines Sicherheitspatches von Apple empfehlen wir, für den root-Benutzer ein Password zu setzen. Wie das geht kann man in einem Artikel von Apple nachlesen. Entsprechende Skripte haben wir für Rechner, die wir vom FAUmac Team verwalten, bereits ausgerollt. Falls Dein Mac also von uns verwaltet wird, brauchst Du nichts weiter machen. Allen anderen Nutzer empfehlen wir dringend ein Passwort für root setzen.
Ältere macOS Versionen (Sierra, El Capitan, Yosemite, …) sind von der Lücke nicht betroffen.

Der „richtige“ Weg (unabhängig von der Schwere) so eine Lücke zu melden wäre der, dem jeweiligen Hersteller das Problem zu melden und erst einige Zeit später die Lücke zu veröffentlichen. Damit ist die Lücke ggf. nur einem kleineren Kreis bekannt und der Hersteller hat die Zeit, die Lücke zu schließen. In diesem Fall ist die Sicherheit von Millionen Macs bis zur Veröffentlichung eines Updates in Gefahr. Einen Bug in einer App zu finden und zu melden ist sicher kein großes Ding – eine ausgewachsene Sicherheitslücke sollte man aber mit einem gewissen Fingerspitzengefühl handhaben.

Keine Software ist fehlerfrei, manche Fehler sind harmlos, manche gravierender und jeder Hersteller erlaubt sich Patzer. Derzeit scheinen sich solche Schnitzer bei Apple im Moment zu häufen. Bleibt zu hoffen, dass sich die Softwarequalität bei Apple in Zukunft verbessert.

Update 12:00 Uhr: Mittlerweile gibt es eine Analyse des Sicherheitslochs.
Update 18:00 Uhr: Apple hat reagiert und mit Security Update 2017-01 das Problem behoben. Das Update kann über den Mac App Store installiert werden.