High Sierra Sicherheitslücke root Zugriff

  • Hallo,


    ich habe gerade auf Twitter und auf giga.de gefunden, das Apple vergessen hat unter High Sierra den root User zu schützen bzw. ein Passwort dafür zu geben. Man kann dann zum Beispiel in den Systemeinstellungen unter Benutzer und Gruppen auf das Schloss klicken und dort den Benutzer root eingeben ohne Passwort und die Authentifizierung muss dan zwei mal bestätigt werden, und man ist dann als root User angemeldet. Im Menüpunkt Sicherheit in den Systemeinstellungen funktioniert es dann zum Beispiel auch. Apple arbeitet wohl schon an einem Fix. Am besten ist es dann, wenn Ihr dem root User dann ein sicheres Passwort vergebt. Ein neues Passwort für den root User kann man im Terminal mit dem Befehl "sudo passwd" vergeben. Dort müsst Ihr einmal euer eigenes Passwort eingeben und dann könnt Ihr das neue root Passwort eingeben, das man zwei mal bestätigen muss. Ich konnte das bei mir nachstellen unter 10.13.1.


    Die Links dazu sind http://www.giga.de/downloads/m…wort-vorlaeufige-loesung/ und https://twitter.com/lemiorhan/status/935578694541770752


    Falls das doch schon gepostet wurde, bitte löschen.


    Gruß


    hitman20

    System 1: Laptop Modell: Dell XPS 15 9550, Mainboard: Intel HM170, Grafikkarte: Intel HD 530, Soundkarte: Realtek ALC298, OS X Version: Big Sur 11.6.1, OpenCore Version: 0.6.3

  • Nope... ist passend und frisch...
    Ich habe das eben mal versucht nachzustellen, aber nach zweimal 20 Versuchen bleiben lassen.
    Bin aber trotzdem gespannt auf das Update und wann es tatsächlich auftauchen soll.

    Gruß
    Al6042

    Keine Unterstützung per PN oder Pinnwand... Eure Anfragen gehören ins Forum, nicht in mein Postfach!

  • Etwas Offtopic aber trotzdem ratsam. Giga.de finanziert sich jetzt durch unschöne Machenschaften. Habe vorigen Monat die Seite per 4G angesteuert weil es ganz oben stand in der Googlesuche da poppte das übliche "wollen sie die Seite in der Mobilen Ansicht oder Desktop Version lesen" Fenster auf. 4,99€ kam der Spass. Und es gab keine weg zurück.

  • Das ist natürlich eine große Schlappe von den Programmierern. Oder ist das so gewollt???? :klatschen:

    & VG :hackintosh:


    Gigabyte Z77-DS3H Rev 1.0 & 1.1
    I5-3330
    NVIDIA GT640 läuft OOB
    10.14.6 Clover

  • Money Money Money .... wer weiß ob da was dran ist

  • Das ist nur für die Nutzer die schnell mal ihr Kennwort vergessen, damit sie nicht so einen Schreck bekommen.
    Das Apple das nicht als Feature für 9,99 Euro anbietet....

  • :wallbash::wallbash::wallbash:


    aber ich hab noch kein highSierra.. :party:

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

  • @umax1980 nö - das hab ich dick und fett mit dem edding auf den monitor gemalt. :D
    interessant wär ja, ob eine anmeldung als root - ohne passwort - funktionieren würde. ubuntu hat ja auch einen passwortbefreiten root, aber der hat keine chance, sich irgendwiewo anzumelden.

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

  • Das werd ich gleich mal probieren....
    Diese Edding-Methode ist aber nur optimal wenn du abwischbaren Edding nutzt. Außer du änderst das nicht mehr ab.

  • abwischbaren Edding


    nicht katzenkompatibel.. ist halt ein dauerfixiertes passwort. 8o


    aber im ernst - mich juckt es grad mächtig in den fingern: was ginge da denn alles mit einem freiherumwuselnden root ohne passwort? da muss ich wohl doch entgegen alle meine spielregeln eine version vor xx.xx.5/6/7 installieren.


    und überhaupt - wie passiert sowas? high sierra wird doch nicht von grund auf neu entwickelt (da könnte ich noch verstehen, dass man den root einfach vergisst abzusichern) - in den vorherigen osx-versionen gibts die lücke nicht ?(
    ich muss mir wohl schnellstmöglich einen aluhut besorgen.... (bzw. einen für den rechner)

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

  • Eigentlich unglaublich diese Sache.
    Irgendwie kommt jeden Tag was neues, bei dem man denkt, daß kann doch nicht angehen.

  • Allerdings. Damit haben die so ziemlich den Vogel abgeschossen. Wenns beim normalen Nutzer (ohne Adminrechte) so wäre dann wäre das auch schon schlimm. Aber gleich der Root? Respekt. :D

  • Wenns beim normalen Nutzer (ohne Adminrechte) so wäre


    bei dem (elCapitan) konnte man noch nicht mal programme installieren, oder schlösser aufmachen, wenn der "normale" user - zwar als admin deklariert - kein passwort hatte - wie das allerdings funktioniert, adminuser ohne passwort anzulegen hab ich nicht rausgekriegt.

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

  • Das funktioniert tatsächlich - User root eintragen, dreimal Enter, es können auch 4 Mal gewesen sein. Schloss ist offen.
    Ich werde da jetzt nichts weiter verstellen, aber dem root ein Passwort geben.


    Da sollte Apple aber schleunigst einen Patch bringen !!!

  • Moin,
    Jepp, klappt prima... Das schlimme daran ist das die Info nun öffentlich bekannt ist. Da macht sich doch jetzt jeder kleine Häcker auf den Weg... Unfassbar Apple

    iMacPro1,1 im PowerMac G5 Wakü ● AsRock Z270 Taichi i7 6700k @4,7GHz ● OpenCore Big Sur & Win10 ● Style/Umbau

    MacBookPro11,1 ● Lenovo IdeaPad Z710 i7 ● OpenCore Big Sur & Win10

    Mac mini M1 16GB/512GB - iPhone 13 Pro Max 256GB

  • Eben bei MediaMarkt ein paar Passwörter getauscht .. :D