Gönner-Abo

Ab CHF 5.– im Monat

👉🏼 Wir benötigen deine Unterstützung! Unterstütze macprime mit einem freiwilligen Gönner-Abo und mache die Zukunft unseres unabhängigen Apple-Mediums aus der Schweiz mit möglich.

macprime unterstützen

Passwörter in Klartext: Sicherheitslücke in OS X 10.7.3 entdeckt

Das seit Anfang Februar von Apple freigegebene dritte Minor-Update für OS X Lion enthält eine Sicherheitslücke, die Passwörter aller Benutzer, die sich auf dem entsprechenden Mac angemeldet haben, in Klartext abspeichert. Ursprung dieser Lücke scheint ein Debug-Flag zu sein, welches ein Apple-Programmier wahrscheinlich aus Versehen im 10.7.3-Code gelassen hat. Durch dieses Debug-Flag wird unter OS X 10.7.3 ein systemweites Log-File erstellt. In diesem Log werden unter anderem die Passwörter aller sich auf diesem Computer seit dem Update angemeldeten Benutzer in Klartext abspeichert. Wer die OS-X-Verschlüsselungstechnologie «FileVault 2» in Lion aktiviert hat, verweigert aussenstehenden zumindest den Zugriff auf dieses Log-File. Benutzer, welche FileVault jedoch nicht aktiviert haben, legen das Log-File möglichen Angreifern ‘schutzlos’ offen. Das Log ist ebenfalls nicht geschützt, wenn man von einem FileVault-geschützten OS X Snow Leopard auf Lion aktualisiert hat, dabei aber die FileVault-Verschlüsselung nicht aktualisiert hat und sie auf Version 1.x belassen hat — dann nämlich ist das Log-File ausserhalb des verschlüsselten Bereichs abgelegt (FileVault 2 verschlüsselt im Gegensatz zur ersten Version die ganze Partition). So kann das Log auch ohne Admin-Rechte eingesehen werden — zum Beispiel durch ein Start des Macs im Target-Modus (Firewire-Modus) oder über eine superuser-shell über die Lion-Recovery-Partition. Ebenfalls davon betroffen sind über TimeMachine erstellte Backups entsprechender Partitionen.

Interessanterweise hatte kurz nach dem Erscheinen des 10.7.3-Updates jemand in den Apple Support Communities einen Hinweis auf eben diese Sicherheitslücke veröffentlicht — bis dieser Tage hatte niemand darauf reagiert.

Von Stefan Rechsteiner
Veröffentlicht am

Zugehörige Themen

2 Kommentare

Anmelden um neue Kommentare zu verfassen

Allegra Leser! Nur angemeldete Nutzer können bei diesem Inhalt Kommentare hinterlassen. Jetzt kostenlos registrieren oder mit bestehendem Benutzerprofil anmelden.