Über die am Dienstag bekannt gewordene Sicherheitslücke in aktuellen Mac-Rechnern von Apple können sich einfach Nutzer mit ein paar Klicks Administratorrechte erschleichen, ohne Passwort. Nun hat Apple ein Software-Update veröffentlicht, das die Lücke schließen soll.
Apple stellt Installationsanleitung bereit
Eine Installationsanleitung hat Apple auf seiner Webseite bereitgestellt, in Kürze soll das Update über die Fernwartung aber auch automatisch auf die betroffenen Mac-Rechner aufgespielt werden. Apple weist in seiner Mitteilung nochmal darauf hin, dass die Betriebssysteme macOS High Sierra 10.13 und macOS High Sierra 10.13.1 von der Schwachstelle betroffen sind, die Systeme bis macOS Sierra 10.12.6 und früher dagegen nicht.
Keine Passworteingabe erforderlich
Um die Sicherheitslücke auszunutzen, muss ein Angreifer zunächst in den Mac-Systemeinstellungen eine Funktion aufrufen, für die Administratorrechte erforderlich sind, zum Beispiel: einen neuen Benutzer anlegen. Anschließend gibt man als Nutzername "root" ein und lässt das Passwortfeld einfach leer. Klickt man dann - gegebenenfalls mehrmals - auf Entsperren, ist man als Root-Nutzer beziehungsweise Administrator am Rechner angemeldet. Damit ist es möglich, zum Beispiel Systemeinstellungen zu verändern, Software zu installieren oder neue Benutzer-Zugänge mit Passwortschutz und Administratorrechten anzulegen.
Wohl vor allem Firmenrechner betroffen
Die Sicherheitslücke dürfte in erster Linie für Firmen-Computer relevant sein, bei denen einfache Benutzer keinen vollen Zugriff auf das System haben und nur ein Administrator zum Beispiel neue Benutzer anlegen darf oder bestimmte Rechte zur Installation von neuer Software hat. Außerdem kann man die Lücke nur dann ausnutzen, wenn man - als einfacher Benutzer - bereits am Computer angemeldet ist.