Sicherheitslücke in OS X: Programmier-Patzer ermöglicht Passwortklau

Ein nachlässiger Programmierer könnte schuld sein: In der aktuellen Version von Apples Betriebssystem OS X steckt ein Fehler, durch den Passwörter unverschlüsselt in einer Textdatei geschrieben werden. Hinweise darauf gab es schon vor Monaten.

Mac OS X 10.7 Lion: Das neue Apple-System Fotos

Seit dem Update auf Version 10.7.3 plagt eine Sicherheitslücke Anwender des Apple-Betriebssystems OS X Lion. Der Grund dafür scheint ein Versäumnis eines Apple-Programmierers zu sein, mutmaßt Sicherheitsexperte David Emery. Beim Überarbeiten der Software habe jemand wohl einen Schalter so gesetzt, dass OS X ein sogenanntes Logfile anlegt, in dem Passwörter als unverschlüsselter Klartext abgespeichert werden. Eigentlich hätte dieser Software-Schalter vor der Veröffentlichung des Updates wohl wieder zurückgesetzt werden sollen, was offenbar vergessen wurde.

Betroffen sind Anwender, die vor dem Update auf OS X Lion Apples Verschlüsselungstechnik Filevault verwendet haben. In der mit Lion ausgelieferten Filevault-Version 2 sei der Fehler nicht enthalten.

Laut Emery ist die Lücke bedenklich. So kann man sich auch dann Zugriff auf die Log-Datei verschaffen, wenn man sich mangels Nutzerkennung und Passwort nicht in den Rechner einloggen kann, indem man den Computer im sogenannten Firewire-Disk-Modus startet. Dann kann dessen Festplatte an einem anderen Computer wie eine externe Festplatte ausgelesen werden.

Bemerkenswert ist allerdings, dass die Sicherheitslücke erst jetzt entdeckt und öffentlich gemacht wurde. Schließlich ist das fragliche Update bereits im Februar ausgeliefert worden. Hinweise auf den Fehler gab es jedoch bereits kurz danach. In Apples Support-Foren beschrieb ein Nutzer, wie der Login eines normalen Netzwerk-Anwenders offen zugängliche Log-Zeilen produzierte und stellte fest: "Dies stellt ein Sicherheitsrisiko dar." Eine Antwort erhielt er nicht.

Damit steht Apple ein weiteres Mal in der Kritik. Ende April hatte das IT-Sicherheitsunternehmen Kaspersky sich deutlich geäußert: Firmenchef Jewgenij Kaspersky sagte, Apple liege in Sicherheitsfragen im Vergleich mit Microsoft zehn Jahre zurück. Das zeige der jüngste Ausbruch der Flashback/Flashfake-Schadprogramme, der gewiss nicht der letzte seiner Art sein werde. Apple müsse seine Aktualisierungszyklen erheblich verkürzen.

Man kann allerdings vermuten, dass die jüngsten Meldungen über Schadsoftware am Mac Kaspersky als Hersteller von Sicherheitssoftware auch nützen. Bisher ließen sich kaum Schutzprogramme an Mac-Nutzer absetzen, weil diese sich lange in trügerischer Sicherheit wähnten.

Wann mit einem Update auf OS X Lion 10.7.4 zu rechnen ist, mit dem der Fehler ausgebessert werden könnte, ist noch nicht bekannt.

meu/mak

Diesen Artikel...
  • Aus Datenschutzgründen wird Ihre IP-Adresse nur dann gespeichert, wenn Sie angemeldeter und eingeloggter Facebook-Nutzer sind. Wenn Sie mehr zum Thema Datenschutz wissen wollen, klicken Sie auf das i.
  • Auf anderen Social Networks teilen

Forum - Diskutieren Sie über diesen Artikel
insgesamt 43 Beiträge
Alle Kommentare öffnen
    Seite 1    
1. Apple
matthias_b. 07.05.2012
"Wann mit einem Update auf OS X Lion 10.7.4 zu rechnen ist, mit dem der Fehler ausgebessert werden könnte, ist noch nicht bekannt." Und wieviel soll es dann kosten?
2. Update
dominik-b. 07.05.2012
Das Update auf 10.7.4 steht unmittelbar bevor und wird selbstverständlich nichts kosten… Fehler passieren immer wieder, dass Apple recht eigen mit der Sache umgeht ist unlängst bekannt. Jedoch interessant ist, dass förmlich nach der Stecknadel im Heuhaufen gesucht wird. Würden Meldung bezüglich anderer Betriebssysteme derart akribisch durch die Presse veröffentlicht werden, könnte man über nichts anderes mehr berichten...
3. Potemkinsche Dörfer, teuer erkauft
Ronald Dae 07.05.2012
>>Firmenchef Jewgenij Kaspersky sagte (...) Und Gott sei dank gibt es ja einen Virus-Scanner für den Mac - von Herrn Kaspersky, für gutes Geld! Wer darauf reinfällt sollte lieber wieder einen PC kaufen. :-)
4. telekom-effekt
smelmoth 07.05.2012
warum wundert das jemand? ewig lang gab es nur die telekom. wenn mal mit dem telefon was nicht klappte, dann automatisch dort. so kannte auch jeder jemanden, der zumindest jemanden kannte, der mal ärger mit denen hatte. "ach gäbe es bloß eine alternative". jetzt gibt es die und siehe da: fehler passieren... Dasselbe bei windows und mac. als niemand einen mac hatte, gab es auch keine meldungen über dessen mängel und alle assoziierten windows mit "schlecht". nun zeigt sich halt, dass es egal ist, welches logo der jeweilige konzern benutzt. als ob die einen coder besser wären als die anderen^^
5. Sicherheit
Hungersson 07.05.2012
Hat bei Apple nunmal keinen hohen Stellenwert. Man verlässt sich auf sein Unix-Kernel und darauf, dass 5% MArktanteil unattraktiv für Viren-Entwickler seien. Das Schliessen der Lücke in Aples-Java-Derivat hat mehr als ein halbes Jahr gedauert. Microsoft brauchte dafür eine Woche.Regelmässige Patches gibt es bei Apple nicht und Sicherheitslücken werden ignoriert und totgeschwiegen. Neue OSX Versionen werden im stillen Kämmerlein entwickelt und auch dort unter Ausschluss der Öffentlichkeit getestet. Dann kommen dabei solche Bugs raus, dass OSX 10.7.2 andauernd Netzwerkfreigaben verliert. Downgrade löst das Problem dann. Stellungnahme von Apple: keine ! Da muss wohl mal ein deutliches Umdenken stattfinden, ansonsten fällt das für Firmenkunden langsam unter "Fahrlässigkeit"
Alle Kommentare öffnen
    Seite 1    
News verfolgen

HilfeLassen Sie sich mit kostenlosen Diensten auf dem Laufenden halten:

alles aus der Rubrik Netzwelt
Twitter | RSS
alles aus der Rubrik Web
RSS
alles zum Thema Computersicherheit
RSS

© SPIEGEL ONLINE 2012
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH



  • Drucken Senden
  • Nutzungsrechte Feedback
  • Kommentieren | 43 Kommentare
Zum Autor
  • Richard Meusers schreibt als Autor für SPIEGEL ONLINE über die Digitalisierung.

Fünf wichtige neue Funktionen in Mac OS X 10.7
AirDrop: Lion-Anwender können mit dieser W-Lan-Technik untereinander drahtlos Dateien austauschen. Dabei werden direkte, gesicherte Verbindungen zwischen den Rechnern aufgebaut, ohne dass man Passworte eingeben. Netzwerken per Drag-and-Drop.
  • Mail: Apples E-Mail-Software ist um neue Suchfunktionen, neue Layouts und eine neue Funktion, die E-Mail-Threads übersichtlicher darstellen soll erweitert worden. Insgesamt ist die Software jetzt professioneller geworden, die Verkettung von E-Mail-Unterhaltungen funktioniert aber nicht immer zuverlässig.
  • Safari: Apples Web-Browser ist unter anderem um eine Funktion erweitert worden, mit der man Web-Seiten zum späteren Lesen markieren kann.
FileVault 2: Die Verschlüsselungssoftware kann jetzt auch externe Medien, etwa USB-Sticks oder Backup-Festplatten, im Hintergrund verschlüsseln. Außerdem gibt es jetzt eine "Instant-Wipe"-Funktion, mit der die Verschlüsselungssequenz gelöscht und die Daten für Fremde unbrauchbar gemacht werden können.
Fotostrecke
OSX Lion: Wenn der Löwe zickt


Anzeige
  • Christian Stöcker:
    Spielmacher

    Gespräche mit Pionieren der Gamesbranche.

    Mit Dan Houser ("Grand Theft Auto"), Ken Levine ("Bioshock"), Sid Meier ("Civilization"), Hideo Kojima ("Metal Gear Solid") u.v.A.

    SPIEGEL E-Book; 2,69 Euro.

  • Einfach und bequem: Direkt bei Amazon kaufen.