Schwere Sicherheitslücke bei Mac OS X
Ui, da hat man bei Apple ein relativ dickes Ei gelegt. Beim Update auf Version 10.7.3 wurde wohl ein wenig geschlampt, sodass eure Passwörter beim Einloggen im Klartext gespeichert werden. Alle von euch, die vor dem Update auf Mac OS X Lion den Verschlüsselungsmechanismus FileVault nutzten, sind betroffen (FileVault 2 ist von der Lücke nicht betroffen).
Nun könnte theoretisch jeder ohne Administratorrechte am Mac auf euer Passwort und damit auch auf die verschlüsselten Daten in der FileVault zugreifen – allerdings muss gesagt sein, dass dafür physikalischer Zugriff auf den Mac vorhanden sein und einiger Aufwand betrieben werden muss: die Log-Datei muss über den FireWire Target Disk-Modus geöffnet werden – dies geschieht, wenn man von der Lion Wiederherstellungs-Partition bootet – denn das Log liegt ausserhalb des verschlüsselten Bereiches.
Auch Time Machine-Backups, zum Beispiel auf externen Platten, sind betroffen. Apple hat bisher nicht reagiert – obwohl bereits vor drei Monaten ein Benutzer diesen Umstand in den Support-Foren gemeldet hat. Empfehlung? Bleibt nur abwarten oder FileVault 2 nutzen – denn dort wird die komplette Disk verschlüsselt. (via Cryptome, via nakedsecurity, via zdnet)
*räusper*
http://www.freist.de/itblog/archives/2010/06/entry_16.html
munter
CC
Das Support-Forum ist nichts wert, Apple reagiert nie auf Problem-Topics, verweist aber über den Support-Button auf die Community.
Carsten füttert Trolle. 🙁 Trotz allem interessant zu sehen, dass OS X eben doch nicht das unknackbare System ist.
@Tony: was hat das mit Trollen zu tun, wenn man eine Information ausgibt?
Und alles nur weil ein Debug Flag auf true gesetzt wurde. Die aktuelle Beta von 10.7.4 enthält keinen Changelog mehr. Es scheint als hätte Apple hier das Debug Flag wieder auf flase gesetzt und testet nun ob noch andere Seiteneffekte auftreten. Alle features dürften damit wohl erst wieder in der über nächsten Beta mit enthalten sein. Also quasi pünktlich zur WWDC… :-//
Aus meiner Zeit als Mac-Nutzer, bevor ich zum Mac-Hasser wurde: TrueCrypt gibts auch für OS X. EncFS kriegt man per MacFUSE zum Laufen. Blubb.
Gabs gestern schon bei fefe zu lesen. Das was Apple da abgezogen hat ist einfach nur dilettantisch.
Tony, du wirst es nicht glauben, aber OS X ist ein total unsicheres System, auch wenns auf Unix basiert. Auf Hackertreffen wirds garnicht erst angerührt weil es einfach zu einfach ist es zu knacken.
Hm, nicht fein. Aber wie heisst es so oft. „Kein System ist sicher – nie!“
Ist halt auch hier so.
Aber wie Caschy ja erwähnte braucht jemand Physischen Zugriff und muss ne Menge Aufwand betreiben.
Aber wenn jemand an meinen Laptop geht der da nichts verloren hat dann hab ich andere Probleme …
Wird sicher bald gefixt.
Manchmal hat man das Gefühl das da viel mit der heißen Nadel gestrickt wird. Erinnert mich an den Ausschneiden&Kopieren Bug beim erscheinen von Leopard, das war fast noch eine Liga besser.