macOS High Sierra kommt mit einer Sicherheitslücke daher, die es erlaubt, die Daten anderer Nutzer auf dem System zu manipulieren. Erschreckend ist dabei, wie einfach sie auszunutzen ist – ein simpler Gast-Account genügt bereits. Aber Apple hat die Lücke immerhin zügig geschlossen.
root – ohne Passwort
Eigentlich hat macOS keinen echten root-Nutzer, denn Apple hat sich für den für grafische Oberflächen besser geeigneten sudo-Weg entschieden. Allerdings gibt es in macOS High Sierra eine Sicherheitslücke, die es erlaubt, sich dennoch als root-Nutzer anzumelden. Sie ist beispielsweise in der Nutzerverwaltung verfügbar. Dort kann man eigentlich nichts ändern, ohne sich als Administrator zu legitimieren – aber man kann frei einen Nutzernamen eingeben, z.B. root. Das Passwort ist leer. Und das wird akzeptiert – sogar beim Gast-Zugang.
Immerhin hat Apple schnell reagier und ein Update veröffentlicht. Es heißt Sicherheitsupdate 2017-001 und richtet sich an macOS High Sierra 10.13.1. macOS Sierra 10.12.6 und älter sind nicht betroffen. Das Update ist dabei nicht sehr groß, dafür aber recht pflegeleicht. Es benötigt nicht einmal einen Neustart des Macs.
Insofern ist jedem dringend anzuraten, den Mac App Store aufzusuchen und das Update aufzuspielen.