Magazin für digitale Arbeit & Kultur
Design

Fatale Sicherheitslücke in Mac OS X Lion 10.7.3

admin
#mac os x 10.7.3

Fälschlicherweise hinterließen Apple-Programmierer einen Debug-Flag im neusten Sicherheitsupdate des Mac OS X Betriebssystems. Abhängig von den Systemeinstellungen wird eine systemweite Debug-Log-Datei erstellt, die sämtliche Passwörter der Benutzer, die sich auf dem Sytem angemeldet haben, enthält. Diese werden wie auf nachfolgendem Screenshot ersichtlich, unverschlüsselt als Plain Text abgelegt.

Security-Experte David Emery entdeckte die Sicherheitslücke und veröffentlichte diese vor zwei Tagen auf der Cryptome Mailing-Liste. Jeder, der die FileFault-Verschlüsselung in seiner Ursprungsversion verwendet, ist von der Sicherheitslücke betroffen. Dies gilt allerdings nicht für Nutzer von FileVault 2.

Auf Macs, die FileFault benutzen, kann folglich jeder mit Root- oder Administratorrechten auf die Anmeldeinformationen sämtlicher Benutzer zugreifen. Auch über FireWire kann auf die die Passwörter zugegriffen werden. Für Unternehmen, die seit Jahren die FileFault-Funktionen zur Verschlüsselung ihrer Daten nutzen, könnte das fatale Folgen haben, sollte die entsprechende Konfiguration vorliegen. Denn nicht nur die Daten auf den betroffenen Macs sind nicht mehr sicher, auch Time Machine Backups auf externen Laufwerken sind gefährdet.

Das Update auf die Mac OS X Version 10.7.3 wurde bereits am 1. Febraur veröffentlicht. Nutzer, die sofort aktualisierten, sind somit seit Wochen der Sicherheitslücke ausgesetzt, obwohl ein Nutzer bereits wenige Tage nach dem Update in den Apple Support Foren darauf aufmerksam machte. ZDNet sieht den erneuten Bug bei der Aktualisierung als deutliches Zeichen für Apples fehlende Qualitätssicherung.

This flaw further shows Apple has a quality assurance problem.

Denn zunächst hatte keiner im Support Forum auf die Frage des Nutzers reagiert. Erst gestern gab es erste Antworten auf den Post.

Tatsache ist, dass selbst bei einer umgehenden Bereitstellung eines Patches Firmen nicht sicher sein können, ob ihre Log-Files tatsächlich gelöscht wurden. Sie könnte irgendwo gespeichert worden sein. Daher wird geraten die Benutzerinformationen nach dem ausstehenden Patch umgehend zu ändern. ZDNet Autor Emil Protalinski hat Apple diesbezüglich um Stellungnahme gebeten.

Apple hat nun bereits mehrfach Negativschlagzeilen aufgrund von Sicherheitslücken gemacht. Sowohl mit Mac OS X als auch mit Sicherheitslücken in iOS. Obwohl das Unternehmen immer größeren Anklang im Business-Bereich findet, stellen gerade solche Sicherheitslücken im wachsende Business-Einsatz gravierende Probleme dar. Offensichtlich hat ZDNet mit seinen recht harten Worten den Kern der Wahrheit getroffen. Denn obwohl sich Apple Security-Expertenwissen einkaufte, kam es gerade in den letzten Monaten immer wieder zu Updates mit fehlerhaftem Code. Wird Apple nach Beendigung der Steve-Jobs-Ära und seinen fehlenden Visionen an organisatorischer Schwäche kränkeln? 

Über den Autor
Kommentare

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>