“Sicherheitslücke”: Apple präsentiert User-Passwort in Log-File

Sicherheitslücke: Apple präsentiert User Passwort in Log File

(C) NakedSecurity

Bei Apple sind offenbar auch die besten der besten der besten Spezialexperten am Werk. Seit einem Update im Februar 2012 bietet MacOS einen nützlichen Bug – zwar nicht für unsereins, aber sicherlich wird da irgendwie irgendwer von profitieren können – jetzt, wo es public ist.

Kurz und knapp – automatisch wurde neben anderen Informationen auch das Passwort des Users in eine ungeschützte zugängliche Log-Datei geschrieben. Betroffen ist man, wenn man davor FileVault zum Verschlüsseln des User-Ordners genutzt hat und dann auf Mac OS X 10.7 aktualisiert hat. Die Anzahl an Leuten, die genau das gemacht haben, wird sicherlich nicht unerheblich sein.

Wie der Fehler entstehen konnte ist unklar. Es wird vermutet, dass diese Debug-Option aus versehen von einem Entwickler bei Apple aktiviert gelassen wurde bzw. dieser hat vergessen sie wieder zu deaktivieren. So kam eben sozusagen eine Test-Version von FileVault in Umlauf.

Solche Fehler sind unverzeihlich, so etwas darf nicht vorkommen. Zwar wird in den Medien überall nun von Sicherheitslücken geredet, aber im Endeffekt ist es ein Bug, mehr auch nicht. In den meisten Fällen wir dieser Bug zu keinem Missbrauch führen. Um an die Daten heranzukommen, bräuchte man physischen Zugriff auf den PC oder eben anderen Zugriff auf die Festplatte.

Wie dem auch sei – ich weiß, warum ich unabhängige Lösungen, wie TrueCrypt, bevorzuge. FileVault ist ein integrierter Dienst im MacOSX. TrueCrypt gibts übrigens auch für Mac und es ist sehr zu empfehlen – weil es u.a. OpenSource ist.

Quelle: NakedSecurity

Show Comments

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>