1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Privilege Escalation: MacOS…

Das ist keine Sicherheitslücke

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Das ist keine Sicherheitslücke

    Autor: dxp 29.11.17 - 10:34

    Als macOS Administrator User hat man Nutzerverwaltungsrechte. Standardmäßig ist der root Account deaktiviert, bzw. hat kein Passwort gesetzt. Beim ersten Setzen des root Passworts wird das leere Eingabefeld als Passwort gesetzt und somit kann ab diesem Zeitpunkt der root Account mit "leer" verwendet werden.
    Ein "Fix" wäre das nicht erlauben von leeren Passwörtern...

    Edit:
    Nicht aufmerksam genug gelesen. Dies passiert ja schon beim Entsperren der Accountverwaltung. Dort sollte das root Passwort ja nicht gesetzt werden können.



    3 mal bearbeitet, zuletzt am 29.11.17 10:38 durch dxp.

  2. Re: Das ist keine Sicherheitslücke, nichtmal ein Bug.

    Autor: Netspy 29.11.17 - 10:39

    Du hast den Bug offenbar nicht verstanden. Man kann sich nämlich als root anmelden, obwohl root deaktiviert ist (was ja standardmäßig der Fall ist). Der root-Account wird beim Anmeldeversuch offenbar selbständig aktiviert (da liegt dann wohl auch der Bug) und da er kein Passwort hat, kann man sich damit einloggen. Das ist sehr wohl eine schwere Sicherheitslücke, zumal das auch bei der normalen Anmeldung funktioniert.

    Als Mac-Nutzer kommt man mit root ja so gut wie nie in Berührung und viele wissen gar nicht, dass es den gibt.

  3. Re: Das ist keine Sicherheitslücke, nichtmal ein Bug.

    Autor: Truster 29.11.17 - 16:09

    Wenn man weiß wie, klar. Ich wette, die Hipster Werbeagentur Ums Eck hat davon nichts mitbekommen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. (Junior) IT-Berater Schnittstellen (m/w/d)
    Lohmann & Rauscher GmbH & Co. KG, Neuwied
  2. Teamleiter IT-Service Desk (m/w/d)
    Hays AG, München
  3. SAP HCM-PT/SF Specialist (m/w/d)
    über Hays AG, Ludwigsburg
  4. IT-Demand Manager (m/w/d)
    Techniker Krankenkasse, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. 499,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de