Der Sicherheitsforscher David Emery hat einen Fehler in dem von Apple Anfang Februar ausgelieferten Update auf Mac OS X 10.7.3 Lion entdeckt. Er führt dazu, dass systemweit eine Debug-Log-Datei angelegt wird, die die Passwörter aller Nutzer im Klartext enthält, die sich seit der Installation des Patches angemeldet haben.
Der Fehler tritt allerdings nur unter bestimmten Voraussetzungen auf. Betroffen sind Anwender, die die Verschlüsselungstechnik FileVault schon vor einem Upgrade auf Lion genutzt haben und Ordner weiterhin mit der älteren Version von FileVault verschlüsseln. FileVault 2, das Festplatten vollständig verschlüsseln kann, ist nicht anfällig.
„Das ist schlimmer als es aussieht“, schreibt Emery in der Mailing-Liste Cryptome. Die Passwörter lassen sich demnach auch auslesen, wenn eine Festplatte per Firewire an einen anderen Mac angeschlossen wird oder ein System mit einer Recovery-Partition gestartet wird. Grund dafür ist, dass die Log-Datei außerhalb des mit FileVault verschlüsselten Bereichs liegt. „Das würde es jemandem erlauben, in verschlüsselte Partitionen einzubrechen, auch wenn er kein Anmeldepasswort kennt.“
Das Problem betrifft ebenfalls Time-Machine-Sicherungen auf externen Festplatten. Dadurch wäre etwa ein Dieb in der Lage, das Passwort aus der im Backup enthaltenen Log-Datei zu extrahieren.
Einigen Nutzern ist der Fehler schon vor längerer Zeit aufgefallen. Apples Support-Forum enthält einen Eintrag zu dem Thema, der vor drei Monaten verfasst und nie beantwortet wurde. Nutzer des Novell-Forums diskutieren das Problem seit Ende April.
Schon im Zusammenhang mit dem Mac-Trojaner Flashback war Kritik an der Sicherheit von Mac OS X laut geworden. Eugene Kaspersky, CEO von Kaspersky Labs, hatte Apple vorgeworfen, die Mac-Plattform liege im Bereich Computersicherheit zehn Jahre hinter Microsoft zurück. Er forderte Apple auf, mehr in Sicherheitsaudits seiner Software zu investieren.
[mit Material von Emil Protalinski, ZDNet.com]
Tipp: Wie gut kennen Sie Windows? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Hinweis: Artikel von ZDNet.de stehen auch in Google Currents zur Verfügung. Jetzt abonnieren.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…