Eine schwerwiegende Sicherheitslücke ermöglichte es Angreifern, sich ohne Eingabe eines Passwortes auf Rechnern mit MacOS 10.13.1 anzumelden. Dazu muss nur der Benutzername „root“ eingegeben werden und mehrmals der „Login“-Button gedrückt werden. Die Lücke, die vom Entwickler Lemi Orhan Ergin entdeckt wurde, wurde jetzt in einem Zeitraum von weniger als 24 Stunden von Apple geschlossen. Das berichtet „Techcrunch“ am Dienstagabend mit Verweis auf einen Screenshot eines „Security Updates“.

Bis das Update bei allen betroffenen Endnnutzern ankommt, wird es wohl noch einige Zeit dauern. Nutzern von MacOS 10.13.1 wir auf jeden Fall empfohlen, das Update möglichst rasch einzuspielen. Die Sicherheitslücke wird von vielen Experten nämlich als kritisch eingestuft.

Peinliche Sicherheitslücke

„Durch den Fehler wird ein sogenannter Root-Nutzer angelegt, der uneingeschränkten Zugang auf das System gewährt“, sagt der Sicherheitsexperte Dieter Vymazal von der FH Hagenberg gegenüber futurezone. Das funktioniert nicht nur bei physischem Zugriff auf das System, sondern auch über Fernwartungszugänge, die über das Internet angesteuert werden können. „Bei einer Standardinstallation sind die meisten Möglichkeiten für einen Remotezugriff deaktiviert. Bei Firmenrechnern und wenn der Nutzer an Dateifreigaben herumgewerkt hat, kann das aber durchaus anders sein“, sagt Vymazal.

———-

Das könnte auch interessant sein:

———-

Für Apple ist das Ganze ziemlich peinlich und daher hat der Konzern möglicherweise so rasch reagiert. Der alte Informatikerwitz „Was ist klein, gelb und sehr gefährlich? Ein Kanarienvogel mit Root-Passwort“ zeigt auf, dass der Root-Zugang zu einem System große Probleme mit sich bringen kann. Dass der Kanarienvogel bei Apple derzeit auch ohne Passwort wüten kann, ist für einen Konzern, der in der Vergangenheit auch mit den angeblich überlegenen Sicherheitsvorkehrungen der eigenen Produkte geworben hat, unangenehm.