OFFENES HAUS?

FileVault-Sicherheitslücke: OS X Lion verrät Passwort

08.05.12 | 10:37 Uhr - von Eric Schäfer
(Bild: ZDNet)

Mit dem jüngsten Sicherheitsupdate OS X 10.7.3 hat Apple versehentlich eine Debug Log-Datei außerhalb des verschlüsselten Bereiches aktiviert, die nun das User-Passwort in reinem Text speichert. Das kann verheerende Auswirkungen haben, meint ein Sicherheitsexperte. 

Mit dem im Februar veröffentlichten OS X Lion Update hat sich durch den Fehler eines Apple-Programmierers eine Sicherheitslücke geöffnet. Eine von diesem Programmierer nicht ausgeführte Änderung in den Sicherheitseinstellungen des OS X 10.7.3-Updates kann nun dazu führen, dass das Login-Passwort eines Benutzers sichtbar wird.

ANZEIGE

Entdeckt hat diesen Fehler der Sicherheits-Experte David Emery, der behauptet, dass alle Benutzer Login-Passwörter in einigen Distributionen des neuesten Apple-Sicherheitsupdates zu Lion OS X 10.7.3 in einer systemweiten Debug-Protokolldatei als reiner Text  gespeichert werden.

Wie ZDNet ausführlich beschreibt, ist der Zugang zu der unverschlüsselten Passwort-Datei auch beim Anschluss der Festplatte über FireWire möglich. In dem Fall lassen sich die verschlüsselten Dateien, die eigentlich nicht sichtbar sein sollten, nicht nur lesen, sondern geben auch Zugang zu allen Dateien, die eigentlich durch User-Name und Passwort geschützt sein sollten.

Außerdem soll es TimeMachine Backups ebenso betreffen wie externe Laufwerke und sogar Computer, die FileVault nutzen, sind laut Experte nicht sicher. Hier lauert eine besondere Gefährdung bei Unternehmen, die auf FileVault setzen. Durch die verletzliche Konfiguration könnte im Falle des Diebstahls eines Mitarbeiter-Macs jeder die eigentlich verschlüsselten Informationen auslesen.

Der beste Weg, um sich zu schützen sei es, FileVaults 2 Whole Disk Encryption zu nutzen sowie ein Firmware-Passwort zu verwenden, um zu verhindern, dass Hacker einen Zugriff auf die Festplatte durch das Booten des Computers in FireWire Festplatten-Modus erhalten.

Mehr zu: FileVault | Sicherheit

Artikel kommentieren

Bild von Gast

Wieso hat das eigentlich so lange gedauert? Seit über drei Monaten steht das offen im Apple Forum (und Apple hat das bisher nicht interessiert).

Kann man euch solche Meldungen auch schicken, damit ihr solch kritische Hinweise früher veröffentlicht? Anders rührt Apple ohnehin keinen Finger!

Bild von Gast

Apple lebt zum Thema Sicherheit noch in der Steinzeit. Die dürften sich gerne mal ein paar Sicherheitsexperten von Microsoft einkaufen. DIE haben die Nase vorne, was Sicherheit im OS angeht. Die hohe Anzahl an Viren, Trojaner und Würmer zu bekämpfen, ist bei weitem eine Kunst. Da hat sich Apple in dem Bereich ausgeruht und keinen Finger gerührt. Diese Lücke ist schonmal ein Beweis von vielen.

Wer immernoch Apple verteidigt, der darf sich unwissender outen ;)

Übrigens: Als Anti-Viren-System auf OSX, kann ich gut Eset Cybersecurity empfehlen. Sicherheit ist geboten und das System wird auch nicht ausgebremst. Ich verwende es unter 10.6.8

Bild von Gast

Bist du der Kasperski Pressesprecher? Bei Apple (die natürlich auch viele Fehler machen) wird jede Lücke riesig gehypt. Microsoft stopft jede Woche mindestens 3 kritische Sicherheitslücken - es interessiert nur niemanden mehr, weil sich alle daran gewöhnt haben.
Was man Apple hier allerdings ganz klar vorwerfen muss, das ist die mangelnde bzw. überhaupt nicht vorhandene Kommunikation.

Bild von Gast

Klar, bei Apple gibt es keine kritischen Lücken... das glauben wir dir alle Apple Pressesprecher!

Die Tatsache, dass Apple sich in Schweigen hüllt, heißt nicht, dass hier nicht kritische Sicherheitslücken gibt. Viel schlimmer ist hingegen diese nur alle paar Monate mal zu schließen! Das hat leider System bei Apple: Flashback - 2 Monate zuvor von Oracle geschlossen, FileVault - seit 3 Monaten nicht einmal eine Reaktion von Apple, Zertifikate - 4 Wochen bis Apple diese zurückgezogen hat, eine sudo-Lücke war bis kurz vor Lion immer noch offen, obwohl diese bereits 2 Jahre zuvor geschlossen wurde, ...

Bild von Gast

Über was regt ihr euch auf. Zu 100% verwendet keiner von euch dieses Filevault. Es ist doch eine Lösung angesagt. Aktiviert Filevault 2. Wer von 10.6 auf 10.7 umsteigt (mit Filevault), dann würde man schon denken, das man auch auf Filevault 2 umgestiegen ist.

Bild von Gast

Wenn Apple so schlampig mit Passwörtern umgeht, dann möchte ich nicht wissen wie die andere Sicherheitslücken stopfen. DARUM geht es. Solch ein Fehler darf bei einer Sicherheitssoftware nicht sein, auch wenn mittlerweile ein Update raus ist.

Bild von Gast

1. woher willst du wissen, dass diese Leute kein FileVault verwenden?
2. nicht jeder steigt sofort auf neue Techniken um, ganz besonders, wenn diese von Apple kommen. Warum? Weil anschließend dein Rechner u.U. gar nicht mehr funktioniert. PGP Desktop war nicht mit FileVault 2 kompatibel und führte dazu, dass dein Rechner nicht mehr bootete, nachdem du eine verschlüsselte Festplatte angeschlossen hattest. Und das war nicht das einzige Programm, das Ärger in Kombination mit FV2 machte.

Kommentar hinzufügen

Captcha
Diese Frage hat den Zweck zu testen, ob Sie ein menschlicher Benutzer sind und um automatisierten Spam vorzubeugen.
drei + = fünfzehn
Lösen Sie die Aufgabe und geben Sie das Ergebnis (als Zahl) ein.

MAC-LIFE-NEWSLETTER BESTELLEN

MAC-FORUM

Re: Technikfrage: Ext Festplatte wird regelmäßig ausge ...

Re: Technikfrage: Ext Festplatte wird regelmäßig ausge ...

Re: Technikfrage: Ext Festplatte wird regelmäßig ausge ...

Re: Technikfrage: Ext Festplatte wird regelmäßig ausge ...

Aktuelle Topseller PDFs

Mac Life 04.2014

Ausgabe: 4/2014
12 MB
4.49 €

Mac Life 05.2014

Ausgabe: 5/2014
63 MB
4.49 €

iPad Life 02.2014

Ausgabe: 2/2014
18.64 MB
5.99 €

Mac easy 02.2014

Ausgabe: 2/2014
21 MB
4.49 €

AppBibel 01.2014

Ausgabe: 1/2014
15.74 MB
4.49 €
 
MAC LIFE MARKTPLATZ

McBüro – die betriebswirtschaftliche Software

für Mac, PC und iOS

McBüro – die betriebswirtschaftliche Software
McBüro – die betriebswirtschaftliche Software für Mac, PC und iOS

Für Handel • Produktion • Dienstleistung • Handwerk • Agenturen • Verlage
Individuell - Anpassbar - Flexibel - Modular


Informieren Sie sich jetzt und laden Sie sich eine Demo-Version: www.McBuero.info
Weitere Infos finden Sie hier

MacLife Gold

Jetzt kostenlos 60 Tage testen

MacLife Gold

Die erste Flatrate für Apple-Fans

Print und Online

100 Ausgaben jährlich für eine Flatrate. Für iPhone, iPad & Co.

iNewsweek: Jede Woche neues aus der Apple Welt

Nur 9,90 im Monat - Sie sparen jährlich 196,72 Euro 

 


 

 

 

 

 

 

 

 

Weitere Infos
Zur Startseite