Bei Twitter hat der türkische Software-Entwickler Lemi Orhan Ergin die Bombe platzen lassen: Auf aktuellen Apple-Rechnern können einfache Benutzer beinahe spielend einfach Administratorrechte bekommen.
Kein Passwort erforderlich
Um die Sicherheitslücke auszunutzen, muss man zunächst in den Mac-Systemeinstellungen eine Funktion aufrufen, für die Administratorrechte erforderlich sind, zum Beispiel: einen neuen Benutzer anlegen. Anschließend gibt man als Nutzername "root" ein und lässt das Passwortfeld einfach leer.
Klickt man dann - gegebenenfalls mehrmals - auf Entsperren, ist man als Root-Nutzer beziehungsweise Administrator am Rechner angemeldet. Damit ist es möglich, zum Beispiel Systemeinstellungen zu verändern, Software zu installieren oder neue Benutzer-Zugänge mit Passwortschutz und Administratorrechten anzulegen.
Wohl vor allem Firmenrechner betroffen
Die Sicherheitslücke dürfte in erster Linie für Firmen-Computer relevant sein, bei denen einfache Benutzer keinen vollen Zugriff auf das System haben und nur ein Administrator zum Beispiel neue Benutzer anlegen darf oder bestimmte Rechte zur Installation von neuer Software hat. Außerdem kann man die Lücke nur dann ausnutzen, wenn man - als einfacher Benutzer - bereits am Computer angemeldet ist.
Workaround schafft kurzfristig Abhilfe
Betroffen sind Betriebssystemversionen unter macOS 10.13, auch High Sierra genannt, inklusive des aktuellen 10.13.1. Apple hat bereits ein Update angekündigt, das den Fehler beheben soll. Bis es so weit ist, können die Betreiber von Macs, an denen mehrere Benutzer mit unterschiedlichen Zugriffsrechten arbeiten, kurzfristig Abhilfe schaffen: Dazu muss man als Administrator dem root-Account manuell ein Passwort zuordnen.
Für Apple ist der Vorfall überaus peinlich. Ist doch die Sicherheit der Mac-Rechner eines der Haupt-Verkaufsargumente des Konzerns aus Cupertino.