Achtung vor Rootpipe: Super-User-Rechte ohne Passwort am Mac
Emil Kvarnhammar, ein Mitarbeiter der schwedischen Internet-Sicherheitsfirma Truesec, hat eine schwerwiegende Lücke im neuen Mac-Betriebssystem OS X 10.10 Yosemite gefunden. Kvarnhammar hat den Fehler bereits an Apple übermittelt, bisher gibt es aber keine Reaktion aus Cupertino.
Die Sicherheitslücke erlaubt Super-User-Rechte in OS X 10.10 ohne ein Passwort eingeben zu müssen. Auf den Fehler ist Kvarnhammar durch Zufall aufmerksam geworden. Laut seinen ersten Recherchen besteht die Lücke nicht erst seit OS X 10.10, sondern ist auch in OS X 10.8 Mountain Lion (getestet wurde 10.8.5 als letzte aktuelle Version) vorhanden. In OS X 10.9 Mavericks konnte der Rootpipe getaufte Fehler nicht ausgenutzt werden. In einem kurzen Video zeigt Kvarnhammar die Rechteausweitung (auch als Privilege Escalation bekannt).
Die Sicherheitslücke erlaubt per Eingabe im Terminal den aktuellen Nutzer mit Super-User-Rechten auszustatten, und das ohne die Eingabe des Passworts. Damit kann also jeder, der Zugriff auf den Computer hat, als Admin fungieren, ohne das Passwort zu kennen.
Wie MacWorld (via Mac & i) berichtet, wurde die Sicherheitslücke bereits Mitte Oktober an Apple gemeldet. Bisher gibt es aber keine Erklärung von Seiten Apples dazu, deshalb wurde nun der erste Schritt der Bekanntgabe gemacht.
Kvarnhammar hat angekündigt, mehr über Rootpipe im Januar veröffentlichen zu wollen. Bis dahin hat Apple Zeit, auf das Problem zu reagieren und ein Sicherheits-Update herauszugeben. Kvarnhammar empfiehlt aktuell Mac-Nutzern, auf dem Rechner besser mit einem zweiten Account zu arbeiten. Tägliche Arbeiten sollten nicht im Admin-Account ausgeführt werden, sondern in einem Nutzer-Account ohne Admin-Privilegien. Zusätzlich wird die Nutzung von Apples FileVault-Verschlüsselungssystem empfohlen, um den Diebstahl von Daten zu verhindern.
Die Sicherheitslücke erlaubt per Eingabe im Terminal den aktuellen Nutzer mit Super-User-Rechten auszustatten, und das ohne die Eingabe des Passworts. Damit kann also jeder, der Zugriff auf den Computer hat, als Admin fungieren, ohne das Passwort zu kennen.
Ausnutzung
Standardmäßig ist der Nutzer von Yosemite mit Adminrechten ausgestattet. Daher betrifft das Problem auch die gesamte Nutzerbasis. Ob die Sicherheitslücke bereits aktiv ausgenutzt wird, ist nicht bekannt. Laut dem schwedischen Entdecker könnte Rootpipe gepaart mit möglichen weiteren Sicherheitslücken im Webbrowser einen umfangreichen, unbemerkten Zugriff auch von außen auf den Mac zulassen.Wie MacWorld (via Mac & i) berichtet, wurde die Sicherheitslücke bereits Mitte Oktober an Apple gemeldet. Bisher gibt es aber keine Erklärung von Seiten Apples dazu, deshalb wurde nun der erste Schritt der Bekanntgabe gemacht.
Kvarnhammar hat angekündigt, mehr über Rootpipe im Januar veröffentlichen zu wollen. Bis dahin hat Apple Zeit, auf das Problem zu reagieren und ein Sicherheits-Update herauszugeben. Kvarnhammar empfiehlt aktuell Mac-Nutzern, auf dem Rechner besser mit einem zweiten Account zu arbeiten. Tägliche Arbeiten sollten nicht im Admin-Account ausgeführt werden, sondern in einem Nutzer-Account ohne Admin-Privilegien. Zusätzlich wird die Nutzung von Apples FileVault-Verschlüsselungssystem empfohlen, um den Diebstahl von Daten zu verhindern.
Thema:
Neue MacOS-Videos
-
Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
-
Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
-
Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
-
WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
-
MacOS Big Sur: Eindrücke zu den Neuerungen des Betriebssystems
Beiträge aus dem Forum
-
KeePass – Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
- James-Webb-Teleskop entdeckt Metallsalz-Wolken auf pinkem Exoplanet
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen