Mac OS X-Bug speichert Passwörter im Klartext

Ein Fehler im Update von älteren Mac-OS-X-Versionen auf die Version 10.7.3 (Lion) kann dazu führen, dass die Passwörter aller Benutzer im Klartext gespeichert werden, wie Heise.de berichtet. Der Sicherheitsexperte David I. Emery ist nach eigenen Angaben in der ersten Maiwoche auf das Problem gestossen und informierte in einem Newsletter.

Konkret führt das Update von Anfang Februar zu einer systemweiten Anlegung einer Debug-Log-Datei, die die Passwörter im Klartext speichert. Betroffen sind Nutzer, die die Verschlüsselungstechnik Filevault schon vor dem Upgrade auf Lion benutzt haben.

Zugriff ohne Adminrechte

Auf die Log-Datei haben grundsätzlich nur Administratoren Zugriff. Allerdings liessen sich laut Antivirenspezialist Sophos die Passwörter auslesen, wenn Festplatten über Firewire an andere Macs angeschlossen oder das System mit der Recovery Partition gestartet würde. Die Log-Datei läge nämlich ausserhalb des verschlüsselten Bereichs. Ebenfalls betroffen vom Problem seien Time-Machine-Sicherungen auf externe Festplatten. Ein geschickter Dieb könnte somit durch das Backup an die Logdatei kommen und die Passwörter auslesen.

Keine Stellungnahme von Apple

Emery weist darauf hin, dass ein Nutzer im Apple-Forum bereits im Februar auf das Problem aufmerksam gemacht habe. Auf die Supportanfrage reagierten bisher weder Apple noch andere Nutzer des Forums. Allerdings sei der Fehler in der Beta von 10.7.4 bereits nicht mehr enthalten, weshalb Nutzer eines anderen Forums davon ausgehen, dass Apple den Fehler in der nächsten Version behoben haben wird.

Für betroffene Nutzer bietet sich ein Update von Filevault auf die Version 2 an, die nicht vom Fehler betroffen ist. Ebenfalls nicht betroffen sind Nutzer, die Filevault erst mit dem Update auf Lion erhalten und vorher keine ältere Version der nun standardmässig aktiven Verschlüsselungssoftware benutzt haben.