MacOS-Fehler speichert Passwörter im Klartext

Der Bug versteckt sich im Update auf Mac OS X 10.7.3: Das Betriebssystem legt seitdem eine systemweite Debug-Log-Datei mit den Passwörtern aller angemeldeten Benutzer an. Davon betroffen sind nur Nutzer der Verschlüsselungstechnik FileVault.

von Stefan Beiersmann 0

Der Sicherheitsforscher David Emery hat einen Fehler in dem von Apple Anfang Februar ausgelieferten Update auf Mac OS X 10.7.3 Lion entdeckt. Er führt dazu, dass systemweit eine Debug-Log-Datei angelegt wird, die die Passwörter aller Nutzer enthält, die sich seit der Installation des Patches angemeldet haben. Die Passwörter werden zudem im Klartext gespeichert.

Der Fehler tritt allerdings nur unter bestimmten Voraussetzungen auf. Betroffen sind Anwender, die die Verschlüsselungstechnik FileVault schon vor einem Upgrade auf Lion benutzt haben und Ordner weiterhin mit der älteren Version von FileVault verschlüsselt haben. FileVault 2, das Festplatten vollständig verschlüsseln kann, ist nicht anfällig.

“Das ist schlimmer als es aussieht”, schreibt Emery in der Mailing-Liste Cryptome. Die Passwörter lassen sich demnach auch auslesen, wenn eine Festplatte per Firewire an einen anderen Mac angeschlossen wird oder ein System mit einer Recovery-Partition gestartet wird. Grund dafür ist, dass die Log-Datei außerhalb des mit FileVault verschlüsselten Bereichs liegt. “Das würde es jemandem erlauben, in verschlüsselte Partitionen einzubrechen, auch wenn er kein Anmeldepasswort kennt.”

Das Problem betrifft auch Time-Machine-Sicherungen auf externen Festplatten. Im Fall des Verlusts eines Laufwerks kann das Passwort aus der im Backup enthaltenen Log-Datei extrahiert werden.

Einigen Nutzern ist der Fehler schon vor längerer Zeit aufgefallen. Apples Support-Forum enthält einen entsprechenden Eintrag, der vor drei Monaten verfasst und nie beantwortet wurde. Nutzer des Novell-Forums diskutieren das Problem seit Ende April.

Schon im Zusammenhang mit dem Mac-Trojaner Flashback war Kritik an der Sicherheit von Mac OS X laut geworden. Eugene Kaspersky, CEO von Kaspersky Labs, hatte Apple vorgeworfen, die Mac-Plattform liege im Bereich Computersicherheit zehn Jahre hinter Microsoft zurück. Er forderte Apple auf, mehr in Sicherheitsaudits seiner Software zu investieren.

Durch einen Fehler in Mac OS X 10.7.3 werden Anmeldepasswörter unverschlüsselt in einer Log-Datei gespeichert (Screenshot: ZDNet).Durch einen Fehler in Mac OS X 10.7.3 werden Anmeldepasswörter unverschlüsselt in einer Log-Datei gespeichert (Screenshot: ZDNet).

[mit Material von Emil Protalinski, ZDNet.com]

Tipp: Kennen Sie sich mit Betriebssystemen aus? Testen Sie Ihr Wissen – mit 15 Fragen auf ITespresso.de.

ITespresso für mobile Geräte
Android-App Google Currents App for iOS

avast! Antivirus

Mehr als 200 Millionen Nutzer vertrauen avast! beim Schutz Ihrer Geräte - mehr als jedem anderen Antiviren-Programm. Und jetzt ist avast! noch besser. Jetzt herunterladen!

Letzter Kommentar




0 Antworten zu MacOS-Fehler speichert Passwörter im Klartext

Hinterlasse eine Antwort

  • Erforderliche Felder sind markiert *,
    Deine E-Mail-Adresse wird nicht veröffentlicht.

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>