Schwere Sicherheitslücke bei Mac OS X

Ui, da hat man bei Apple ein relativ dickes Ei gelegt. Beim Update auf Version 10.7.3 wurde wohl ein wenig geschlampt, sodass eure Passwörter beim Einloggen im Klartext gespeichert werden. Alle von euch, die vor dem Update auf Mac OS X Lion den Verschlüsselungsmechanismus FileVault nutzten, sind betroffen (FileVault 2 ist von der Lücke nicht betroffen).

Nun könnte theoretisch jeder ohne Administratorrechte am Mac auf euer Passwort und damit auch auf die verschlüsselten Daten in der FileVault zugreifen – allerdings muss gesagt sein, dass dafür physikalischer Zugriff auf den Mac vorhanden sein und einiger Aufwand betrieben werden muss: die Log-Datei muss über den FireWire Target Disk-Modus geöffnet werden – dies geschieht, wenn man von der  Lion Wiederherstellungs-Partition bootet – denn das Log liegt ausserhalb des verschlüsselten Bereiches.

Auch Time Machine-Backups, zum Beispiel auf externen Platten, sind betroffen. Apple hat bisher nicht reagiert – obwohl bereits vor drei Monaten ein Benutzer diesen Umstand in den Support-Foren gemeldet hat. Empfehlung? Bleibt nur abwarten oder FileVault 2 nutzen – denn dort wird die komplette Disk verschlüsselt. (via Cryptome, via nakedsecurity, via zdnet)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

11 Kommentare

  1. Wunderwuzzi says:

    Das Support-Forum ist nichts wert, Apple reagiert nie auf Problem-Topics, verweist aber über den Support-Button auf die Community.

  2. Carsten füttert Trolle. 🙁 Trotz allem interessant zu sehen, dass OS X eben doch nicht das unknackbare System ist.

  3. @Tony: was hat das mit Trollen zu tun, wenn man eine Information ausgibt?

  4. Und alles nur weil ein Debug Flag auf true gesetzt wurde. Die aktuelle Beta von 10.7.4 enthält keinen Changelog mehr. Es scheint als hätte Apple hier das Debug Flag wieder auf flase gesetzt und testet nun ob noch andere Seiteneffekte auftreten. Alle features dürften damit wohl erst wieder in der über nächsten Beta mit enthalten sein. Also quasi pünktlich zur WWDC… :-//

  5. Aus meiner Zeit als Mac-Nutzer, bevor ich zum Mac-Hasser wurde: TrueCrypt gibts auch für OS X. EncFS kriegt man per MacFUSE zum Laufen. Blubb.

  6. roteweste says:

    Gabs gestern schon bei fefe zu lesen. Das was Apple da abgezogen hat ist einfach nur dilettantisch.

  7. Tony, du wirst es nicht glauben, aber OS X ist ein total unsicheres System, auch wenns auf Unix basiert. Auf Hackertreffen wirds garnicht erst angerührt weil es einfach zu einfach ist es zu knacken.

  8. Hm, nicht fein. Aber wie heisst es so oft. „Kein System ist sicher – nie!“
    Ist halt auch hier so.
    Aber wie Caschy ja erwähnte braucht jemand Physischen Zugriff und muss ne Menge Aufwand betreiben.
    Aber wenn jemand an meinen Laptop geht der da nichts verloren hat dann hab ich andere Probleme …

    Wird sicher bald gefixt.

  9. Zwergnase says:

    Manchmal hat man das Gefühl das da viel mit der heißen Nadel gestrickt wird. Erinnert mich an den Ausschneiden&Kopieren Bug beim erscheinen von Leopard, das war fast noch eine Liga besser.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.