Mit dem jüngsten Sicherheitsupdate OS X 10.7.3 hat Apple versehentlich eine Debug Log-Datei außerhalb des verschlüsselten Bereiches aktiviert, die nun das User-Passwort in reinem Text speichert. Das kann verheerende Auswirkungen haben, meint ein Sicherheitsexperte.
Mit dem im Februar veröffentlichten OS X Lion Update hat sich durch den Fehler eines Apple-Programmierers eine Sicherheitslücke geöffnet. Eine von diesem Programmierer nicht ausgeführte Änderung in den Sicherheitseinstellungen des OS X 10.7.3-Updates kann nun dazu führen, dass das Login-Passwort eines Benutzers sichtbar wird.
ANZEIGE
Entdeckt hat diesen Fehler der Sicherheits-Experte David Emery, der behauptet, dass alle Benutzer Login-Passwörter in einigen Distributionen des neuesten Apple-Sicherheitsupdates zu Lion OS X 10.7.3 in einer systemweiten Debug-Protokolldatei als reiner Text gespeichert werden.
Wie ZDNet ausführlich beschreibt, ist der Zugang zu der unverschlüsselten Passwort-Datei auch beim Anschluss der Festplatte über FireWire möglich. In dem Fall lassen sich die verschlüsselten Dateien, die eigentlich nicht sichtbar sein sollten, nicht nur lesen, sondern geben auch Zugang zu allen Dateien, die eigentlich durch User-Name und Passwort geschützt sein sollten.
Außerdem soll es TimeMachine Backups ebenso betreffen wie externe Laufwerke und sogar Computer, die FileVault nutzen, sind laut Experte nicht sicher. Hier lauert eine besondere Gefährdung bei Unternehmen, die auf FileVault setzen. Durch die verletzliche Konfiguration könnte im Falle des Diebstahls eines Mitarbeiter-Macs jeder die eigentlich verschlüsselten Informationen auslesen.
Der beste Weg, um sich zu schützen sei es, FileVaults 2 Whole Disk Encryption zu nutzen sowie ein Firmware-Passwort zu verwenden, um zu verhindern, dass Hacker einen Zugriff auf die Festplatte durch das Booten des Computers in FireWire Festplatten-Modus erhalten.
Mehr zu: FileVault | Sicherheit
Artikel kommentieren
Wieso hat das eigentlich so lange gedauert? Seit über drei Monaten steht das offen im Apple Forum (und Apple hat das bisher nicht interessiert).
Kann man euch solche Meldungen auch schicken, damit ihr solch kritische Hinweise früher veröffentlicht? Anders rührt Apple ohnehin keinen Finger!
Apple lebt zum Thema Sicherheit noch in der Steinzeit. Die dürften sich gerne mal ein paar Sicherheitsexperten von Microsoft einkaufen. DIE haben die Nase vorne, was Sicherheit im OS angeht. Die hohe Anzahl an Viren, Trojaner und Würmer zu bekämpfen, ist bei weitem eine Kunst. Da hat sich Apple in dem Bereich ausgeruht und keinen Finger gerührt. Diese Lücke ist schonmal ein Beweis von vielen.
Wer immernoch Apple verteidigt, der darf sich unwissender outen ;)
Übrigens: Als Anti-Viren-System auf OSX, kann ich gut Eset Cybersecurity empfehlen. Sicherheit ist geboten und das System wird auch nicht ausgebremst. Ich verwende es unter 10.6.8
Bist du der Kasperski Pressesprecher? Bei Apple (die natürlich auch viele Fehler machen) wird jede Lücke riesig gehypt. Microsoft stopft jede Woche mindestens 3 kritische Sicherheitslücken - es interessiert nur niemanden mehr, weil sich alle daran gewöhnt haben.
Was man Apple hier allerdings ganz klar vorwerfen muss, das ist die mangelnde bzw. überhaupt nicht vorhandene Kommunikation.
Klar, bei Apple gibt es keine kritischen Lücken... das glauben wir dir alle Apple Pressesprecher!
Die Tatsache, dass Apple sich in Schweigen hüllt, heißt nicht, dass hier nicht kritische Sicherheitslücken gibt. Viel schlimmer ist hingegen diese nur alle paar Monate mal zu schließen! Das hat leider System bei Apple: Flashback - 2 Monate zuvor von Oracle geschlossen, FileVault - seit 3 Monaten nicht einmal eine Reaktion von Apple, Zertifikate - 4 Wochen bis Apple diese zurückgezogen hat, eine sudo-Lücke war bis kurz vor Lion immer noch offen, obwohl diese bereits 2 Jahre zuvor geschlossen wurde, ...
Über was regt ihr euch auf. Zu 100% verwendet keiner von euch dieses Filevault. Es ist doch eine Lösung angesagt. Aktiviert Filevault 2. Wer von 10.6 auf 10.7 umsteigt (mit Filevault), dann würde man schon denken, das man auch auf Filevault 2 umgestiegen ist.
Wenn Apple so schlampig mit Passwörtern umgeht, dann möchte ich nicht wissen wie die andere Sicherheitslücken stopfen. DARUM geht es. Solch ein Fehler darf bei einer Sicherheitssoftware nicht sein, auch wenn mittlerweile ein Update raus ist.
1. woher willst du wissen, dass diese Leute kein FileVault verwenden?
2. nicht jeder steigt sofort auf neue Techniken um, ganz besonders, wenn diese von Apple kommen. Warum? Weil anschließend dein Rechner u.U. gar nicht mehr funktioniert. PGP Desktop war nicht mit FileVault 2 kompatibel und führte dazu, dass dein Rechner nicht mehr bootete, nachdem du eine verschlüsselte Festplatte angeschlossen hattest. Und das war nicht das einzige Programm, das Ärger in Kombination mit FV2 machte.
Diskutieren Sie mit!
Damit Sie Artikel auf maclife.de kommentieren können, müssen Sie sich bitte einmalig registrieren – bereits registrierte Leser müssen zum Schreiben eines Kommentars eingeloggt sein. Die Moderation der Kommentare liegt allein bei maclife.de – kritische Kommentare und sachliche Diskussionen sind erwünscht, Beschimpfungen & Beleidigungen werden gelöscht. Bitte beachten Sie unsere Diskussionsregeln, die Netiquette.