Sicherheitslücke in Mac OS X: Jeder kann Passworte ändern

Peinliche Sicherheitslücke in Apples neuem Betriebsystem Mac OS X Lion: Weil Apple beim Zugriffsschutz schluderte, können Angreifer sich all zu leicht Zutritt zu einem fremden System verschaffen. Dabei könnte man das System mit einfachen Mitteln schützen.

Mac OS X 10.7 Lion: Das neue Apple-System
Fotos

Eine Sicherheitslücke in Mac OS X 10.7 macht es Angreifern leicht, sich Zugang zu fremden Apple-Rechnern zu verschaffen, berichtet ein US-Blogger. Solange man sich zumindest als Gast auf einem Rechner mit Apples aktuellem Betriebssystem einloggen kann, könne man auch Passwörter anderer Nutzerkonten nach Belieben ändern - und sich damit etwa selbst zum Administrator des Computers krönen.

Sicherheitsexperte Patrick Dunstan hat die Lücke entdeckt - und ist offenbar selbst noch ganz baff darüber, wie Apple diesen Fehler übersehen konnte: "Sieht so aus, als ob bei der Überarbeitung des Authentifizierungs-Schemas in OS X Lion ein wichtiger Schritt übersehen wurde,"schreibt er in seinem Blog. Demzufolge können selbst Laien das Passwort eines gerade eingeloggten Users ändern, ohne sich zunächst mit dem alten Passwort als berechtigt identifizieren zu müssen. Das alles, indem sie ein einfaches Kommando im Terminalprogramm von Mac OS X eingeben.

Noch schlimmer: Über eine verwandte Sicherheitslücke kann ein Angreifer an die so genannten Hash-Werte der Passwörter andere Nutzer eines OS-X-Computers gelangen. Damit gelingen Brute-Force-Angriffe, bei denen in hoher Geschwindigkeit Millionen Passwort-Kombinationen durchgeraten werden, deutlich schneller.

Die Lücke dürfte für viele private Apple-Nutzer allerdings kaum eine Rolle spielen: Sie ist nur brenzlig, sofern der Angreifer bereits Zugriff auf ein Nutzerkonto hat. Ein einfacher Laptop-Dieb könnte stattdessen einfach die Festplatte ausbauen und sich mit gröberen Mitteln durch deren Datenbestand arbeiten.

Sorgen sollten sich vielmehr Unternehmen machen: Dringt eine Malware ins Firmennetz ein, kann sie sich dank dieser Sicherheitslücke theoretisch beliebig Zugangsrechte zu den Firmen-Macs verschaffen, Dateien ausforschen oder weiteren Schadcode installieren.

Aber es gibt auch einfache Schutzmechanismen, erklärt Cnet.com: Wer das automatische Login auf seinem Mac deaktiviert, Passwörter für den Schlaf- und Screensaver-Zustand aktiviert, Gäste-Zugänge abschaltet und anderen Nutzern Admin-Rechte in der Kontenverwaltung entzieht, legt Angreifern erhebliche Hindernisse in den Weg zur Computer-Herrschaft.

Anmerkung der Redaktion: In einer früheren Version des Texts hieß es, dass selbst ein Laie die Passwörter aller anderen Nutzer eines Mac-OS-X-Computers herausfinden könne. Richtig ist: Nur das Passwort des gerade angemeldeten Nutzers lässt sich so erfahren. Für alle anderen gibt es eine weitere Möglichkeit über die sogenannten Passwort-Hashes.

fko

Diesen Artikel...
Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
Auf anderen Social Networks teilen
  • Xing
  • LinkedIn
  • Tumblr
  • studiVZ meinVZ schülerVZ
  • deli.cio.us
  • Digg
  • reddit
Forum
Diskutieren Sie über diesen Artikel
insgesamt 20 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Noch einfacher..
specialsymbol 20.09.2011
..geht es auch (habe ich auch total baff rausgefunden als eine Bekannte ihr Passwort vergaß). Ich lache mich jedesmal kaputt wenn ich die "Features" von MacOS sehe. Aber jeder wie er will..
..geht es auch (habe ich auch total baff rausgefunden als eine Bekannte ihr Passwort vergaß). Ich lache mich jedesmal kaputt wenn ich die "Features" von MacOS sehe. Aber jeder wie er will..
2. Sorgfalt
nordlicht26 20.09.2011
Das ist wieder übertriebener Alarmismus, um eine schöne Schlagzeile zu bekommen. Korrekt ist, man kann nur das Passwort des gerade angemeldeten Benutzers ändern (was von begrenztem Nutzen ist, wenn man eh schon angemeldet ist). [...]
Das ist wieder übertriebener Alarmismus, um eine schöne Schlagzeile zu bekommen. Korrekt ist, man kann nur das Passwort des gerade angemeldeten Benutzers ändern (was von begrenztem Nutzen ist, wenn man eh schon angemeldet ist). Es bleibt eine Risenschlamperei von Apple, aber etwas sorgfältigere Recherche erwarte ich schon von Spiegel Online. Das hier ist Bildzeitungsniveau.
3. Naja...
Der Meyer Klaus 20.09.2011
Passwörter zurücksetzen dauert bei WinXP ja auch nur grob eine Minute. Benötigt man nur einen entsprechendes Bootdevice mit Minilinux zum Ändern der entsprechenden Dateien. Nötige Kenntnisse: Browser bedienen, Datei downloaden, [...]
Passwörter zurücksetzen dauert bei WinXP ja auch nur grob eine Minute. Benötigt man nur einen entsprechendes Bootdevice mit Minilinux zum Ändern der entsprechenden Dateien. Nötige Kenntnisse: Browser bedienen, Datei downloaden, Diskette oder CD 'bespielen', damit starten, Befehlen folgen (simpel), fertig. Als wenn ein Rechner vor dem man sitzt sicher wäre... (Verschlüsselung von Datenträgern mal außen vor, macht eh kaum einer)
4. Ging schon bei NT und 2000
ich_bins 20.09.2011
Ging schon bei NT und 2000. Immer noch der selbe Sch..ß. Wenn man das einem Win-Fanboy erzählt, glaubt er es nicht. Also immer die CD dabeihaben und zeigen!
Zitat von Der Meyer KlausPasswörter zurücksetzen dauert bei WinXP ja auch nur grob eine Minute. Benötigt man nur einen entsprechendes Bootdevice mit Minilinux zum Ändern der entsprechenden Dateien. Nötige Kenntnisse: Browser bedienen, Datei downloaden, Diskette oder CD 'bespielen', damit starten, Befehlen folgen (simpel), fertig. Als wenn ein Rechner vor dem man sitzt sicher wäre... (Verschlüsselung von Datenträgern mal außen vor, macht eh kaum einer)
Ging schon bei NT und 2000. Immer noch der selbe Sch..ß. Wenn man das einem Win-Fanboy erzählt, glaubt er es nicht. Also immer die CD dabeihaben und zeigen!
5. Nachplapperer
GreenFree2 20.09.2011
jaja, das müssen Sie jetzt aber nochmal erklären, wie Sie das Passwort der Bekannten ändern konnten, ohne es zu wissen! Denn man kann nur das Passwort des Benutzers ändern, mit dem man gerade angemeldet ist. Der Artikel hier bei [...]
Zitat von specialsymbol..geht es auch (habe ich auch total baff rausgefunden als eine Bekannte ihr Passwort vergaß). Ich lache mich jedesmal kaputt wenn ich die "Features" von MacOS sehe. Aber jeder wie er will..
jaja, das müssen Sie jetzt aber nochmal erklären, wie Sie das Passwort der Bekannten ändern konnten, ohne es zu wissen! Denn man kann nur das Passwort des Benutzers ändern, mit dem man gerade angemeldet ist. Der Artikel hier bei SPO ist leider falsch, wie bei Heise auch schon bemerkt wurde. Lustig, wenn nur wieder nachgeplappert (und dazu noch falsch bestätigt) wird. Aber es ist ja "in" Apple schlecht zu machen. Ist ja typisch, die die erfolgreich sind, sind ja die "Bösen". So long...
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt Twitter | RSS
alles aus der Rubrik Gadgets RSS
alles zum Thema Computersicherheit RSS

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Dienstag, 20.09.2011 – 09:41 Uhr
  • Drucken Versenden Feedback
  • Kommentieren | 20 Kommentare
Alle Themenseiten
Zum Autor
Felix Knoke schreibt von Berlin aus über elektronische Lebensaspekte und versucht sich vergeblich als Hitproduzent in seinem Wohnzimmerstudio.

Mehr im Internet
SPIEGEL ONLINE ist nicht verantwortlich
für die Inhalte externer Internetseiten.





MEHR AUS DEM RESSORT NETZWELT

Übersicht Netzwelt
TOP



TOP