SPIEGEL ONLINE

SPIEGEL ONLINE

07. Mai 2012, 12:03 Uhr

Sicherheitslücke in OS X

Programmier-Patzer ermöglicht Passwortklau

Ein nachlässiger Programmierer könnte schuld sein: In der aktuellen Version von Apples Betriebssystem OS X steckt ein Fehler, durch den Passwörter unverschlüsselt in einer Textdatei geschrieben werden. Hinweise darauf gab es schon vor Monaten.

Seit dem Update auf Version 10.7.3 plagt eine Sicherheitslücke Anwender des Apple-Betriebssystems OS X Lion. Der Grund dafür scheint ein Versäumnis eines Apple-Programmierers zu sein, mutmaßt Sicherheitsexperte David Emery. Beim Überarbeiten der Software habe jemand wohl einen Schalter so gesetzt, dass OS X ein sogenanntes Logfile anlegt, in dem Passwörter als unverschlüsselter Klartext abgespeichert werden. Eigentlich hätte dieser Software-Schalter vor der Veröffentlichung des Updates wohl wieder zurückgesetzt werden sollen, was offenbar vergessen wurde.

Betroffen sind Anwender, die vor dem Update auf OS X Lion Apples Verschlüsselungstechnik Filevault verwendet haben. In der mit Lion ausgelieferten Filevault-Version 2 sei der Fehler nicht enthalten.

Laut Emery ist die Lücke bedenklich. So kann man sich auch dann Zugriff auf die Log-Datei verschaffen, wenn man sich mangels Nutzerkennung und Passwort nicht in den Rechner einloggen kann, indem man den Computer im sogenannten Firewire-Disk-Modus startet. Dann kann dessen Festplatte an einem anderen Computer wie eine externe Festplatte ausgelesen werden.

Bemerkenswert ist allerdings, dass die Sicherheitslücke erst jetzt entdeckt und öffentlich gemacht wurde. Schließlich ist das fragliche Update bereits im Februar ausgeliefert worden. Hinweise auf den Fehler gab es jedoch bereits kurz danach. In Apples Support-Foren beschrieb ein Nutzer, wie der Login eines normalen Netzwerk-Anwenders offen zugängliche Log-Zeilen produzierte und stellte fest: "Dies stellt ein Sicherheitsrisiko dar." Eine Antwort erhielt er nicht.

Damit steht Apple ein weiteres Mal in der Kritik. Ende April hatte das IT-Sicherheitsunternehmen Kaspersky sich deutlich geäußert: Firmenchef Jewgenij Kaspersky sagte, Apple liege in Sicherheitsfragen im Vergleich mit Microsoft zehn Jahre zurück. Das zeige der jüngste Ausbruch der Flashback/Flashfake-Schadprogramme, der gewiss nicht der letzte seiner Art sein werde. Apple müsse seine Aktualisierungszyklen erheblich verkürzen.

Man kann allerdings vermuten, dass die jüngsten Meldungen über Schadsoftware am Mac Kaspersky als Hersteller von Sicherheitssoftware auch nützen. Bisher ließen sich kaum Schutzprogramme an Mac-Nutzer absetzen, weil diese sich lange in trügerischer Sicherheit wähnten.

Wann mit einem Update auf OS X Lion 10.7.4 zu rechnen ist, mit dem der Fehler ausgebessert werden könnte, ist noch nicht bekannt.

meu/mak

URL:


© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH