Warnung vor Sicherheitslücke im älteren FileVault unter OS X Lion

ZDnet berichtet mit Verweis auf Sicherheitskreise, dass das ältere FileVault, welches zuletzt in Mac OS X 10.6 Snow Leopard zum Einsatz kommt, in der neusten Version von OS X Lion unsicher ist. Apple hatte mit OS X 10.7 Lion ein neues Verschlüsselungssystem für Festplattendaten eingeführt, welches die gesamte Festplatte verschlüsselt, wohingegen sich das ältere FileVault auf einzelne Verzeichnisse beschränkt. Unglücklicherweise hat Apple mit der Aktualisierung auf Mac OS X 10.7.3 eine Sicherheitslücke eingeführt, welche zur Folge hat, dass in einer Datei sowohl Benutzername als auch Kennwort im Klartext hinterlegt werden, wenn auf verschlüsselte Ordner zugegriffen wird. Die betreffenden Einträge in der Log-Datei waren vermutlich nur für den internen Gebrauch bei Apple vorgesehen, um den Entwicklern bei der Fehleranalyse behilflich zu sein. Bei der Fertigstellung von Mac OS X 10.7.3 wurde dann aber offenbar vergessen, die Erstellung der Einträge wieder zu unterbinden. Aufgrund der sehr prominenten Position der Log-Datei im System ist es sehr wahrscheinlich, dass die Datei mit Benutzername und Kennwort mittlerweile auch auf Sicherungen von Time Machine befindet, die damit ebenfalls ein Sicherheitsrisiko darstellen. Ob und wann Apple die Sicherheitslücke schließen wird, ist nicht bekannt. In den wenig moderierten Apple Discussions gab es nach dem Hinweis eines Nutzers auf die Sicherheitslücke vor drei Monaten bisher keine Reaktion seitens Apple. Um sich zu schützen, müssen Nutzer das neue FileVault 2 nutzen, indem sie FileVault in den System-Einstellungen zunächst aus- und danach wieder einschalten.

Weiterführende Links:

Kommentare

o.wunder
o.wunder07.05.12 10:55
Hinweis an Apple vor 3 Monaten und Apple hat noch nicht reagiert?
Kann man so eine Firma noch ernst nehmen?
0
Thunderbolt07.05.12 11:32
Wechsle auf Filevault 2 und das Problem ist gelöst. Trotzdem sollte Apple diesen Bug fixen.
0
chessboard
chessboard07.05.12 12:19
Kann es sein, dass hier mal wieder ziemlich viel Wind gemacht wird?
Natürlich ist es ziemlicher Mist, ein Update für ein Sicherheits-Feature rauszubringen, das eine Verschlechterung der Sicherheit bringt - das ist schon klar. Nur scheint das alte FileVault unter Lion ja sowieso obsolet zu sein.

Der Fehler scheint aber nur beim alten FileVault unter 10.7.3 zu bestehen. Bei dieser OS X Version kann man aber doch das (zumindest in dieser Hinsicht) fehlerfreie FileVault 2 nutzen. Der Umstieg ist mit ein paar Klicks erledigt.
Wo ist jetzt das große Problem?

BTW: Solchem Zeug traue ich persönlich weder in Version 1 noch in Version 2 .
0
Gerhard Uhlhorn07.05.12 13:26
Apple liest das eigene Forum leider nicht. Man muss schon einen Bugreport erstellen und dort auf den entsprechenden Foreneintrag hinweisen, damit die es mitbekommen.
0
pünktchen
pünktchen07.05.12 14:41
Also mit FV scheint es Apple nicht so zu haben, da leisten sie sich alle paar Jahre wieder so einen Klopfer. Und sowas sollte innerhalb eines Tages gefixt sein.

@ chessboard: das Problem besteht, wenn du von 10.7.3 aus auf FV 1 zugreifst. Z.B. auf ein verschlüsseltes Volume, welches du gemeinsam mit Accounts unter 10.6 benutzt und welches deshalb mit FV 1 verschlüsselt sein muss.
0
tifonex07.05.12 15:22
Uhlhorn

Aber wenn mal wieder ein Thread gelöscht wird müssen die ja schon mitgelesen haben. Als Selbstläufer lassen die das bestimmt nicht laufen, schon um zu überprüfen ob was illegales gepostet wird.
0
nd7007.05.12 18:12
Apple kann man wirklich nicht mehr ernst nehmen, zumindest wenn es um ernsthaftes und professionelles Computing geht.

Apple ist inzwischen ein Spielzeugladen geworden, und weil die meisten Menschen verspielt sind, ist Apple auch so erfolgreich. Was kümmert Apple da ein paar Passwörter im Klartext....
0
Hannes Gnad
Hannes Gnad08.05.12 08:53
Ein Bug in einer "deprecated" Funktion, und schon geht wieder mal Cupertino unter. Ich wüßte auf Anhieb 100 wichtigere Baustellen...
Apple ist inzwischen ein Spielzeugladen geworden, und weil die meisten Menschen verspielt sind, ist Apple auch so erfolgreich.
Wir waren vor einigen Tagen auf einer Messe, Vorträge halten zum Thema "iPad im Geschäftsumfeld", und mit Kunden unterhalten, die das iPad bereits einsetzen oder dies bald zu tun werden. Folgende Kindergärten hatten wir im Gespräch: Landesbank, Großbäckerei, Abwasserverband, technische Prüfstelle, Landratsamt, Logistik-Unternehmen, Berufsfeuerwehr, Maschinenbauer, Schulen.
0
Hannes Gnad
Hannes Gnad08.05.12 08:57
Gerhard: In den öffentlichen Discussions schaut Apple schon mal rein, beteiligt sich aber nicht aktiv und nimmt auch keine Bugs-Reports mit. Die nächste Stufe sind die devforums, dort sind die Jungs von der Developer Connection aktiv mit dabei, und wenn man Macken oder Löcher findet, kommt auch dort immer der Hinweis: Bug auf den Radar bringen.
0
Marcel_75@work
Marcel_75@work08.05.12 10:18
Hannes Gnad: Und wie gut durchdacht Radar ist, weiß man ja …

Ich sag nur:

0
Hannes Gnad
Hannes Gnad08.05.12 10:29
Ja, der Radar an sich ist eine große Baustelle. Aber, nachdem Apple gerade Zug um Zug seine internen Online-Systeme renoviert (GSX, ASW, ASTO, ADC usw.) besteht die Hoffung, daß Radar auch bald drankommt...
0
Gerhard Uhlhorn08.05.12 10:47
tifonex: Diejenigen, die Threads löschen, sind nicht diejenigen die die Bugs bearbeiten. Die letzteren erfahren nichts von denen die das Forum moderieren – leider.
Hannes Gnad
In den öffentlichen Discussions schaut Apple schon mal rein, beteiligt sich aber nicht aktiv und nimmt auch keine Bugs-Reports mit.
Und wer ist „Apple“? Eben, diejenigen, die moderieren sind nicht diejenigen, die Bugs entfernen. Und beide sprechen offensichtlich nicht miteinander.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen