High Sierra Sicherheitslücke root Zugriff

hitman20 · 29. November 2017

Hallo,

ich habe gerade auf Twitter und auf giga.de gefunden, das Apple vergessen hat unter High Sierra den root User zu schützen bzw. ein Passwort dafür zu geben. Man kann dann zum Beispiel in den Systemeinstellungen unter Benutzer und Gruppen auf das Schloss klicken und dort den Benutzer root eingeben ohne Passwort und die Authentifizierung muss dan zwei mal bestätigt werden, und man ist dann als root User angemeldet. Im Menüpunkt Sicherheit in den Systemeinstellungen funktioniert es dann zum Beispiel auch. Apple arbeitet wohl schon an einem Fix. Am besten ist es dann, wenn Ihr dem root User dann ein sicheres Passwort vergebt. Ein neues Passwort für den root User kann man im Terminal mit dem Befehl "sudo passwd" vergeben. Dort müsst Ihr einmal euer eigenes Passwort eingeben und dann könnt Ihr das neue root Passwort eingeben, das man zwei mal bestätigen muss. Ich konnte das bei mir nachstellen unter 10.13.1.

Die Links dazu sind http://www.giga.de/downloads/m…wort-vorlaeufige-loesung/ und https://twitter.com/lemiorhan/status/935578694541770752

Falls das doch schon gepostet wurde, bitte löschen.

Gruß

hitman20

al6042 · 29. November 2017

Nope... ist passend und frisch...
Ich habe das eben mal versucht nachzustellen, aber nach zweimal 20 Versuchen bleiben lassen.
Bin aber trotzdem gespannt auf das Update und wann es tatsächlich auftauchen soll.

a1k0n · 29. November 2017

Etwas Offtopic aber trotzdem ratsam. Giga.de finanziert sich jetzt durch unschöne Machenschaften. Habe vorigen Monat die Seite per 4G angesteuert weil es ganz oben stand in der Googlesuche da poppte das übliche "wollen sie die Seite in der Mobilen Ansicht oder Desktop Version lesen" Fenster auf. 4,99€ kam der Spass. Und es gab keine weg zurück.

Shado · 29. November 2017

Das ist natürlich eine große Schlappe von den Programmierern. Oder ist das so gewollt????

jboeren · 29. November 2017

*alu hut modus* Das ist so gewollt!

Dr.Stein · 29. November 2017

Money Money Money .... wer weiß ob da was dran ist

umax1980 · 29. November 2017

Das ist nur für die Nutzer die schnell mal ihr Kennwort vergessen, damit sie nicht so einen Schreck bekommen.
Das Apple das nicht als Feature für 9,99 Euro anbietet....

grt · 29. November 2017

aber ich hab noch kein highSierra..

umax1980 · 29. November 2017

Dann darfst du dein Kennwort nicht vergessen ....

grt · 29. November 2017

@umax1980 nö - das hab ich dick und fett mit dem edding auf den monitor gemalt.
interessant wär ja, ob eine anmeldung als root - ohne passwort - funktionieren würde. ubuntu hat ja auch einen passwortbefreiten root, aber der hat keine chance, sich irgendwiewo anzumelden.

umax1980 · 29. November 2017

Das werd ich gleich mal probieren....
Diese Edding-Methode ist aber nur optimal wenn du abwischbaren Edding nutzt. Außer du änderst das nicht mehr ab.

grt · 29. November 2017

Zitat von umax1980

abwischbaren Edding

nicht katzenkompatibel.. ist halt ein dauerfixiertes passwort.

aber im ernst - mich juckt es grad mächtig in den fingern: was ginge da denn alles mit einem freiherumwuselnden root ohne passwort? da muss ich wohl doch entgegen alle meine spielregeln eine version vor xx.xx.5/6/7 installieren.

und überhaupt - wie passiert sowas? high sierra wird doch nicht von grund auf neu entwickelt (da könnte ich noch verstehen, dass man den root einfach vergisst abzusichern) - in den vorherigen osx-versionen gibts die lücke nicht
ich muss mir wohl schnellstmöglich einen aluhut besorgen.... (bzw. einen für den rechner)

umax1980 · 29. November 2017

Eigentlich unglaublich diese Sache.
Irgendwie kommt jeden Tag was neues, bei dem man denkt, daß kann doch nicht angehen.

Sascha_77 · 29. November 2017

Allerdings. Damit haben die so ziemlich den Vogel abgeschossen. Wenns beim normalen Nutzer (ohne Adminrechte) so wäre dann wäre das auch schon schlimm. Aber gleich der Root? Respekt.

grt · 29. November 2017

Zitat von Sascha_77

Wenns beim normalen Nutzer (ohne Adminrechte) so wäre

bei dem (elCapitan) konnte man noch nicht mal programme installieren, oder schlösser aufmachen, wenn der "normale" user - zwar als admin deklariert - kein passwort hatte - wie das allerdings funktioniert, adminuser ohne passwort anzulegen hab ich nicht rausgekriegt.

umax1980 · 29. November 2017

Das funktioniert tatsächlich - User root eintragen, dreimal Enter, es können auch 4 Mal gewesen sein. Schloss ist offen.
Ich werde da jetzt nichts weiter verstellen, aber dem root ein Passwort geben.

Da sollte Apple aber schleunigst einen Patch bringen !!!

yoyo268 · 29. November 2017

Hallo Sascha_77!
Naja, wie heißt es so schön: entweder Ganz oder Garnicht

Schönen Gruß!

Schorse · 29. November 2017

Moin,
Jepp, klappt prima... Das schlimme daran ist das die Info nun öffentlich bekannt ist. Da macht sich doch jetzt jeder kleine Häcker auf den Weg... Unfassbar Apple

Si Vis Pacem · 29. November 2017

Einfach Folgendes eingeben. Dann zuerst das User-Passwort und dann das zukünftige root-Passwort.

Code

sudo passwd

Dr.Stein · 29. November 2017

Eben bei MediaMarkt ein paar Passwörter getauscht ..

Willkommen! Melde dich an oder registriere dich.

High Sierra Sicherheitslücke root Zugriff

kavenzmann Vor 32 Minuten

agrafx Vor einer Stunde

agrafx Vor 2 Stunden

agrafx Vor 2 Stunden

agrafx Vor 2 Stunden

iMac 2024 in Betrieb nehmen

Der neue Mini ist da ~13x13cm M4/Pro 16GB Stock

Win 11 on Arm auf macMini M4

Abstürze: RAM oder Grafikkarte?

LG UltraFine 5K Display am Hackintosh Laptop

Teilen

5 Benutzer haben hier geschrieben