Achtung vor Rootpipe: Super-User-Rechte ohne Passwort am Mac
Emil Kvarnhammar, ein Mitarbeiter der schwedischen Internet-Sicherheitsfirma Truesec, hat eine schwerwiegende Lücke im neuen Mac-Betriebssystem OS X 10.10 Yosemite gefunden. Kvarnhammar hat den Fehler bereits an Apple übermittelt, bisher gibt es aber keine Reaktion aus Cupertino.
Die Sicherheitslücke erlaubt Super-User-Rechte in OS X 10.10 ohne ein Passwort eingeben zu müssen. Auf den Fehler ist Kvarnhammar durch Zufall aufmerksam geworden. Laut seinen ersten Recherchen besteht die Lücke nicht erst seit OS X 10.10, sondern ist auch in OS X 10.8 Mountain Lion (getestet wurde 10.8.5 als letzte aktuelle Version) vorhanden. In OS X 10.9 Mavericks konnte der Rootpipe getaufte Fehler nicht ausgenutzt werden. In einem kurzen Video zeigt Kvarnhammar die Rechteausweitung (auch als Privilege Escalation bekannt).
Die Sicherheitslücke erlaubt per Eingabe im Terminal den aktuellen Nutzer mit Super-User-Rechten auszustatten, und das ohne die Eingabe des Passworts. Damit kann also jeder, der Zugriff auf den Computer hat, als Admin fungieren, ohne das Passwort zu kennen.
Wie MacWorld (via Mac & i) berichtet, wurde die Sicherheitslücke bereits Mitte Oktober an Apple gemeldet. Bisher gibt es aber keine Erklärung von Seiten Apples dazu, deshalb wurde nun der erste Schritt der Bekanntgabe gemacht.
Kvarnhammar hat angekündigt, mehr über Rootpipe im Januar veröffentlichen zu wollen. Bis dahin hat Apple Zeit, auf das Problem zu reagieren und ein Sicherheits-Update herauszugeben. Kvarnhammar empfiehlt aktuell Mac-Nutzern, auf dem Rechner besser mit einem zweiten Account zu arbeiten. Tägliche Arbeiten sollten nicht im Admin-Account ausgeführt werden, sondern in einem Nutzer-Account ohne Admin-Privilegien. Zusätzlich wird die Nutzung von Apples FileVault-Verschlüsselungssystem empfohlen, um den Diebstahl von Daten zu verhindern.
Die Sicherheitslücke erlaubt per Eingabe im Terminal den aktuellen Nutzer mit Super-User-Rechten auszustatten, und das ohne die Eingabe des Passworts. Damit kann also jeder, der Zugriff auf den Computer hat, als Admin fungieren, ohne das Passwort zu kennen.
Ausnutzung
Standardmäßig ist der Nutzer von Yosemite mit Adminrechten ausgestattet. Daher betrifft das Problem auch die gesamte Nutzerbasis. Ob die Sicherheitslücke bereits aktiv ausgenutzt wird, ist nicht bekannt. Laut dem schwedischen Entdecker könnte Rootpipe gepaart mit möglichen weiteren Sicherheitslücken im Webbrowser einen umfangreichen, unbemerkten Zugriff auch von außen auf den Mac zulassen.Wie MacWorld (via Mac & i) berichtet, wurde die Sicherheitslücke bereits Mitte Oktober an Apple gemeldet. Bisher gibt es aber keine Erklärung von Seiten Apples dazu, deshalb wurde nun der erste Schritt der Bekanntgabe gemacht.
Kvarnhammar hat angekündigt, mehr über Rootpipe im Januar veröffentlichen zu wollen. Bis dahin hat Apple Zeit, auf das Problem zu reagieren und ein Sicherheits-Update herauszugeben. Kvarnhammar empfiehlt aktuell Mac-Nutzern, auf dem Rechner besser mit einem zweiten Account zu arbeiten. Tägliche Arbeiten sollten nicht im Admin-Account ausgeführt werden, sondern in einem Nutzer-Account ohne Admin-Privilegien. Zusätzlich wird die Nutzung von Apples FileVault-Verschlüsselungssystem empfohlen, um den Diebstahl von Daten zu verhindern.
Thema:
Neue MacOS-Videos
- Ein Jahr Liquid Glass: Was bleibt von Apples kritisierter UI-Optik?
- Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
- Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
- Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
- WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
Beiträge aus dem Forum
-
KeePass Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
- Galaxy Watch 9 & Ultra 2: Samsung setzt auf neue CPU & größere Akkus
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen