Mac OS: Sicherheitslücke birgt Risiko für Passwörter

Ein Fehler in Apples Betriebssystem Mac OS X ermöglicht es aktuell in bestimmten Fällen, dass Unbefugte an die Passwörter eines Benutzers kommen können. Der Bug besteht seit dem Februar und ist bisher nicht durch eine weitere Aktualisierung behoben. mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Wie sagte Kaspersky: Apple ist im Bereich Security 10 Jahre hinter MS zurück. Soll jetzt nicht hetzerisch klingen. Apple hatte einfach zu lange Zeit das "Glück" das sich keiner groß für Mac-Viren interessiert hat da der Marktanteil zu klein war. Daraus entstand dann der Trugschluss das System sei sicherer. Apple muss jetzt lernen mit Routine an solche kritischen Lücken ran zu gehen. Ihr bisheriges vorgehen Lücken teils erst nach Monaten zu schließen funktioniert nicht mehr.
 
@paris: so ist das, was Microsoft schon verstanden hat muss Apple nun endlich mal lernen. Ansonsten wird die Sache nicht rosig für Apple ausgehen.
 
@paris: "Was ist schlimmer als ein angebissener Apfel mit einem Wurm drin? -> Ein angebissener Apfel mit einem HALBEN Wurm drin!" ;-)
Frei nach Jürgen von der Lippe...
 
@paris: bin genau deiner Meinung
 
@paris: Wie bitte? Wenn ich mich nicht irre, war es bei Windows seit je her möglich, mit einer Boot-CD an die Daten eines Windows-profils zu kommen. Und was bitte hat dieser Konfigurationsfehler (denn mehr isses nicht) mit Viren zu tun?
 
@iPeople: Nur nicht wenn man mit Bitlocker Verschlüsselt hat. Des Weiteren loggt der oben genannte "Konfigurationsfehler (denn mehr isses nicht)" ALLE Passwörter mit und nicht nur die Filevault Spezifischen Passwörter.
 
@Maetz3: Wieviele haben eine höhere Version als Home Premium? Und die ist bekanntlich ohne Bitlocker.
 
@iPeople: Das war nicht die Kernaussage und ich bin mir sicher, dass du das auch verstanden hast.
 
@paris: Oh Gott, schon mal nachgesehn wieviele Sicherheitslücken MS in den letzten Monaten stopfen musste? Bei Apple wird aus einer Lücke gleich eine Sensation gemacht und es werden die üblichen sinnfreien Trollpredigten geschwungen...
 
@Freibier: Schließen ist nicht gleich vorhanden sein! Du kannst das jetzt genau so gut so interpretieren das MS aktiv danach sucht und aktiv und effizient auf Hinweise zu Sicherheitslücken reagiert. Nur weil Apple weniger davon schließt heißt das noch lange nicht das das System weniger Schwachstellen hat. Lies dir doch mal die Meinungen führender Sicherheitsexperten durch. Bei denen kommt OS X generell nicht gut weg (das war zu Win9x Zeiten noch anders) das Kaspersky Zitat von oben ist nur eine Meinung.
 
@paris: Es betrifft nur die ALTE VERSION VON FILEFAULT, die neue ab der Version 2.0 schreibt dies wieder verschlüsselt, also nicht im Klartext, denoch sollte auch für die Erstere ein Hotfix rauskommen. Zu @paris: Ich glaube nicht, dass du gross Ahnung von einem Unix hast, sonst würdest du schön ruhig und sachlich bleiben ;)
 
@paris: Teils hast ja recht mit Deinem Post (den Kasperskyteil klammere ich aus...das ist denen Ihr Geschäft und die wollen Geld damit machen). Sicherlich hat Apple Versäumnisse in Bezug auf die Sicherheitspolitik. Nichts desto trotz sehe ich hier das Problem nicht. Absatz 5 der 1 Satz sagt alles zu diesem Artikel: "Grundsätzlich wird also ein physischer Zugang zu dem Computer benötigt, was ohnehin die meisten herkömmlichen Sicherheits-Schranken außer Kraft setzt"...Dem ist in Punkto Apple vs. Sicherheit, zumindest was diesen Artikel angeht, nichts mehr hinzu zu fügen! Das kann man auch als jemand feststellen, der absolut kein Applefan ist.
 
@Lostinhell78: Es gibt doch aber auch Apple Computer an denen mehrere Leute arbeiten. In Agenturen werden viele Apple PCs genutzt. In dem Umfeld sind freie Mitarbeiter nichts ungewöhnliches die nur paar Tage die Woche da sind. D.h. es kann in diesem Umfeld passieren, dass an dem Rechner jeden Tag in der Woche ein anderer Mitarbeiter sitzt. Bedenkt man dann mal das die wenigsten Leute für jeden Dienst ein extra Passwort haben kommt man mit dem Passwort eventuell an das E-Mail Konto eines konkurrierenden externen Mitarbeiters und damit an seine Auftrags E-Mails. DAS ist nur eine von vielen vielen Möglichkeiten und für den betroffenen ein absolutes Horroszenario und für die Agentur noch dazu!
 
@paris: Wenn derjenige auf Pronseiten surft und sein Banking vom Firmencomputer aus macht, auf jeden Fall:) Dein Argument ist schon stimmig und trifft sicher auch auf ein paar Fälle zu. Versteh mich da bitte nicht falsch. Bin schließlich auch keiner von der Sorte der Apfelliebhaber. Auf der anderen Seite muss ich allerdings einwenden, dass derjenige, welcher für alles nur ein Passwort nutzt...naja (als Bayer/ Franke würde ich sagen) ana noglangt körert na scho dem Doldi!
 
@paris: du hast schon verstanden in welchen fällen die sicherheitslücke auftritt??
 
@Balu2004: Du meinst die Situation, dass irgendjemand an alle Passwörter kommt, wenn man seinen Rechner in der Firma / beim Kunden mal kurz unbeaufsichtigt lässt? Auch du hast die eigenliche Kernaussage nicht verstanden (oder verstehen wollen)
 
@heidenf: "Mal kurz" - soso ;)
 
@heidenf: oder du ignorierst die fakten .. das problem trifft nicht bei allen zu sondern bei usern die von snow leo upgegraded haben und ihr filefault auf einer älteren version (filefault 1) belassen anstelle auf die aktuelle version filefault 2 umzustellen.. das man daraus ein allgemeingültiges problem darstellt geschieht nur hier bei wf. wenn du von xp auf vista/7 umstellst willst du ja auch neue features nutzen
 
@Balu2004: Erklär mir, was meine Aussage mit "Fakten ignorieren" zu tun hat! Auch bei anderen OS müssen immer irgendwelche Randbedingungen erfüllt sein, damit die Sicherheitslücke greift. Deswegen ist es ja auch eine "Lücke" und kein Sicherheitscheunentor. Aber darum geht es gar nicht. Es geht darum, dass mit weiterer Verbreitung von Mac OS-X, Apple in Zukunft mit denselben Problemen zu kämpfen haben wird, wie MS. Zwischen der Anzahl der "Sicherheitsprobleme" eines OS und dessen Verbreitung besteht ein direkter Zusammenhang. Da kannst du dir dein Mac noch so schön reden.
 
@heidenf: dann erklär mir mal warum in der vergangenheit so "wenige" sicherheitslücken beim apache gefunden wurden im gegensatz zum iis (der mittlerweile auch ziemlich sicher ist).. apache war früher der führende webserver und müsste demnach ja sehr oft attakiert worden sein. aus der verbreitung eines os rückschlüsse auf die sicherheit zu ziehen ist nicht unbedingt 100% korrekt sondern man sollte auch die zugrundeliegenden features / sicherheits mechanismen berücksichtigen (z.b. uac bei windows, nicht mehr default admin nach install bei xp usw)
 
@Balu2004: Es wurden auch beim Apache genug Sicherheitslücken gefunden. Beim IIS musst du auch noch das komplette .Net Framework mit in Betracht ziehen. Dieses hat natürlich auch Sicherheitslücken. Der Apache unterstützt kein ASP.Net, hat diese Probleme daher auch nicht. Je höher die Verbreitung eines OS ist, desto attraktiver ist es für findige Hacker, Sicherheitslücken zu finden und/oder auszunutzen. Das ist einfach so. Das mag von Fall zu Fall vielleicht nicht immer 100%ig zutreffen, aber in der groben Tendenz ist es einfach logisch und die Zukunft wird zeigen, wer Recht hat.
 
@heidenf: korrekt das beim iis das .net framework dazu ist , dies ist ein architekturproblem das der hersteller (hier ms) zu verantworten hat. wenn also über ein .net framework lücke der iis gehackt wird ist ms schuld und der iis gehackt. wenn nun bei apple z.b. eine java sicherheits lücke ist und apple verteilt die updates wird ja auch apple hierfür verwantwortlich gemacht (in zukunft wird aber wohl oracle selbst wieder die updates hierfür bereitstellen) .. man soll also schon mit gleichem maß vergleichen. ich persönlich bin da anderer meinung was die verbreitung vs angreifbarkeit angeht weil so einfach kann man es sich nicht machen.. vielmehr sollte man auch die darunterliegende architektur auch berücksichtigen.
 
@Balu2004: Eine absolute Neuigkeit, das der Entwickler einer Software Schuld an den Fehlern dieser Software ist. Hier mal eine Neuigkeit für dich: Es gibt keine fehlerfreie Software. Auch nicht von Apple. Und Filevault ist nicht von Oracle. Den Java Vergleich hast du doch eben angeführt. Dass ein OS unsicherer wird, wenn die Verbreitung steigt ist einfach eine logische Konsequenz. Je mehr Angreifer existieren, je mehr in Richtung Schadcode für ein OS entwickelt wird, desto mehr Sicherheitsprobleme wird es geben. Architektur hin oder her.
 
@heidenf: vielen dank für die Erkenntnis das es keine 100% fehlerfreie Software gibt. ich habe das beispiel mit Java genannt weil du das .net Framework beim iis nanntest. ich denke wir beide haben unsere Standpunkte genügend dargelegt und werden auf keinen gemeinsamen Nenner kommen.
 
@Balu2004: Muss ja auch nicht, wäre ja langweilig, wenn alle die gleiche Meinung hätten.
 
Apple hat versehentlich die Debug-Version ausgeliefert. Normalerweise wird das Passwort nämlich nicht in die Log File geschrieben. Das sollte binnen weniger Tage gefixed sein.
 
@GlennTemp: Apple eben!
 
@GlennTemp: Fehler sind menschlich keine Frage das sit aber ein gravierender Fehler und für sowas gibt es normal eine QS... Sollte also nicht passieren!
 
@paris: Ähm, wie sollte das bei einer QS aufallen?
 
@iPeople: Also wenn du mit deiner QS nicht mal in der Lage bist darauf zu achten, dass keine Debug-Version an die Kunden gerät, solltest du lieber deinen Laden zu machen.
 
@Knarzi: Meine QS? Mein Laden? Ich habe eindeutig gefragt, wie das auffalen könnte in einer QS. Du kannst keine Antwort liefern? Dann antworte auch nicht. Denn meine Frage war durchaus ernst gemeint.
 
@iPeople: Da gibt es genug Möglichkeiten, alleine das Buildsystem sollte darauf aufmerksam machen, dass der Release-Build Debug-Schalter enthält. Das sind in der Regel Fehler, die man automatisiert entdeckt werden. Bei MS gibt's dafür den Security Development Lifecycle. http://www.microsoft.com/security/sdl/default.aspx
 
@Knarzi: Danke, die Antwort war einleuchtend.
 
@iPeople: Hä? Es wird in OS X sicher an mehreren Stellen "Debug" Funktionen geben. Vor einer Auslieferung sollten diese mindestens durch das 4-Augen Prinzip wenn nicht automatisiert kontrolliert werden. Wo ist das Problem?
 
@paris: Offenbar ist dieser Debug-Modus nicht auf den ersten Blick zu erkennen. Deswegen ja meine frage, wie sollte das konkret aufallen?
 
@iPeople: Für Programmierer die den Quellcode einsehen können ist aber sehr gut sichtbar ob er an oder aus ist. Wo ist das Problem das vor einer Auslieferung immer nochmal von 1-2 Leuten kontrollieren zu lassen? QS bedeutet ja nicht nur mit der Kompilierten Version ein wenig rumzutesten...
 
@paris: Aha, und die Programmierere von Windows können den Quellcode nicht einsehen und deshalb müssen da so viele Lücken gestopft werden?
 
@iPeople: Lies meinen Kommentar [re:6] da hab ich darauf geantwortet...
 
@paris: Das war keine Antwort, sondern ein "sollte sein". Eine Antwort habe ich von Knarzi erhalten.
 
@iPeople: Ich meinte eine Antwort auf dein [re:12]
 
@GlennTemp: Nach drei Monaten sollte man damit auch mal langsam rechnen können... https://discussions.apple.com/thread/3715366
 
Mag sein, dass dem so ist und Apple hat hier Nachholbedarf! Jedoch ist diese Sicherheitslücke ja auf physischen Zugriff beschränkt. Soll jetzt keine Verteidigung sein für den Apfel. Aber man sollte die Kirche hier im Dorf lassen. Mit Hardwarezugriff kann man so ziemlich von jedem softwaregestützten Gerät die Daten auslesen.Egal ob verschlüsselt oder nicht.
 
@Lostinhell78: bei richtiger Verschlüsselung nicht, bei einem TrueCrypt-Volume bringt dir der physische Zugriff nichts. Wenn jetzt natürlich die eingetippten Passwörter in einem Logfile stehen, hilft die beste Verschlüsselung nichts.
 
Wieso wird eigentlich nicht erwähnt, dass Nutzer von Filevault 2 davon nicht betroffen sind ?! Wer die aktuelle Version hat, braucht nichts zu befürchten. Es ist doch logisch, dass man in Sachen Verschlüsselung und Software immer die neuste Version haben muss.
 
@algo: und dann betrifft es anscheinend auch nur solche user die von 10.6 upgegradet haben und filefault vorher nutzten .. user die einen neuen rechner mit lion ausgeliefert bekommen sind imho nicht betroffen .. das es ein problem ist braucht man nicht zu verschweigen.. aber an bild niveau überschriften haben wir uns mittlerweile gewöhnt denn diese bringen mehr klicks
 
@Balu2004: Man kann den Apple Kritiker aber auch nicht Böse sein, denn wenn man jeden Tag mit so schlecht recherchierten Apple News konfrontiert wird, dann ist es auch kein Wunder, wenn man ein falsches Apple Bild bekommt. Mac News Seiten sind da auch nicht besser und manchmal sogar erschreckend, was die sich so über Windows und Linux einfallen lassen :D
 
@algo: das finde ich noch nicht mal soo schlimm .. schlimm ist es wie einige auf solche vermeintliche fakten anspringen und bashen was das zeug hält. noch cooler finde ich die besagten news mit dem titel: Bericht bla.. wenn man dann liest ist das kein bericht sondern gerücht :)
 
Die Sache ist doch schon längst vom Tisch. Bereits die Beta von 10.7.4 fixt das Problem. Abgesehen davon: Jeder sollte von FV1 auf FV2 wechseln. Allein schon weil die neue Version so viel besser ist und mehr kann. FV1 verschlüsselt nicht mal die gesamte Platte und versteht sich nicht optimal mit Time Machine.

Da die meisten wahrscheinlich eh FV2 nutzen: Das Problem ist Schnee von gestern.
 
@digitalnative: fullack .. das ist genau der springende punkt .. entweder ist sowas schlecht recherchiert oder bewusst "vergessen" .. wenn ich ein neues os installiere will ich auch gern die neuen features nutzen .. hier z.b. filefault 2.. man stelle sich vor das user ein upgrade von windows 7 auf windows 8 machen und nur ihren alten desktop nutzen wollen anstelle das neuere moderenere metro .. wer ironie findet darf sie gern behalten :P
 
Cool! Das ist ja fast wie bei Windows7 Bitlocker "Verschlüsselung", den Schlüssel einfach im Klartext auf Laufwerken zu speichern.
 
@Feuerpferd:
Bei Windows musst du aber für diesen bug vorher noch Geld bezahlen, weil es für die Normalsterblichen kein Bitlocker gibt.
 
@GlennTemp: Also ich halte ja so wohl MacOSX als auch Windows "Ultimate" Benutzer für ganz normale Sterbliche. ;-)
 
4 Tage hats gedauert. In der Nacht ist das Security Update erschienen.
 
@GlennTemp: Tja, nur darüber wird hier leider nicht berichtet....
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles