Das ging wirklich fix bei Apple. Gestern hatte ich im Artikel Fette Passwortlücke in macOS High Sierra über ein Problem bei Apple berichtet. Wenige Stunden später gab es bereits ein Update zum Schließen der Lücke.
Das Problem bestand darin, dass bei macOS High Sierra Gast-Konten mit einem leeren Kennwort Zugriff auf den root User erhalten konnten. Der Entdecker hatte das per Tweet öffentlich gemacht.
You can access it via System Preferences>Users & Groups>Click the lock to make changes. Then use „root“ with no password. And try it for several times. Result is unbelievable! pic.twitter.com/m11qrEvECs
— Lemi Orhan Ergin (@lemiorhan) 28. November 2017
Das Problem ließ sich zwar leicht entschärfen, indem man ein Kennwort für den Benutzer root vergab. Bereits gestern gab es den Kommentar, dass ein Fix für das Problem von Apple verfügbar sei (danke an den Nutzer). Bei 9to5mac.com gibt es einen Artikel zum Thema mit weiteren Details. Apple hat den Fix hier beschrieben:
SECURITY UPDATE 2017-001
Released November 29, 2017
Directory Utility
Available for: macOS High Sierra 10.13.1
Not impacted: macOS Sierra 10.12.6 and earlier
Impact: An attacker may be able to bypass administrator authentication without supplying the administrator’s password
Description: A logic error existed in the validation of credentials. This was addressed with improved credential validation.
CVE-2017-13872
When you install Security Update 2017-001 on your Mac, the build number of macOS will be 17B1002. Learn how to find the macOS version and build number on your Mac.
If you require the root user account on your Mac, you can enable the root user and change the root user’s password.
Da kann ich nur sagen: Daumen hoch. Apple hat den Benutzer root wohl deaktiviert und das Problem damit gelöst.
In diesem heise.de-Artikel findet sich der Hinweis, dass Apple das Update automatisch installiert (kann es mangels Mac nicht testen).
Filesharing reparieren
Allerdings ist Apple beim Fix ein Lapsus unterlaufen, der die Dateifreigabe blockiert. Die Kollegen von deskmodder.de berichten in diesem Beitrag darüber. Apple hat einen Support-Beitrag veröffentlicht, der den Fix beschreibt. Es ist die Terminal-App über den Zubehör-Ordner zu öffnen und der Befehl:
sudo /usr/libexec/configureLocalKDC
auszuführen. Das braucht administrative Berechtigungen. Im Anschluss sollten sich Dateifreigaben wieder nutzen lassen.
Ergänzung: Bei heise.de widmet sich dieser Artikel dem Update und dessen Nebenwirkungen. Das Update steht auch für macOS 10.13.0 zur Verfügung.
Ergänzung: Das Problem ist länger bekannt
Im Artikel Fette Passwortlücke in macOS High Sierra hatte ich berichtet, dass das Problem erst vor einigen Tagen öffentlich bekannt geworden sei. Das war offenbar falsch – die Insider Seite Daring Fireball hat sich des Themas hier angenommen. Bereits am 13. November 2017 gab es in einem internen Entwicklerforum von Apple einen Post, den man nur als bizarr bezeichnen kann.
- Ein Entwickler beklagte am 8. Juni 2017, dass er mit einer Beta von der WWDC seine beiden Administratorkonten verloren habe.
- Am 13. November 2017 postete ein Nutzer den Workaround, dass er den Benutzer root mit einem leeren Kennwort verwenden könne, um administrative Berechtigungen zu erhalten.
Diesen Post hat der Mensch, der das Ganze dann über Twitter öffentlich machte, dann auch gelesen.
Nachtrag: Achtung bei Update und Neuinstallation von macOS
Irgendwie steckt der der Wurm in mac OS High Sierra. Installieren Benutzer das Update von macOS 10.13.1 auf einem System, wo die Schwachstelle bereits gefixt war, ist der root-Benutzer wieder mit leerem Kennwort unterwegs, wie man z.B. bei heise.de nachlesen kann.
Wie sich hier liest, ist ein weiterer Bug mit dem Update verbunden:
https://www.ifun.de/entdecker-der-root-luecke-apple-wurde-vor-einer-woche-informiert-115972
Zitat: „Es lässt sich in den Systemeinstellungen unter Benutzer & Gruppen kein neues Administrator-Konto anlegen. Jedes Mal erscheint nach dem Anlegen eine Fehlermeldung.“