Zero-Day-Lücke: macOS High Sierra legt Passwörter im Klartext offen

Seit gestern stellt Apple mit macOS 10.13 High Sierra eine neue Version seines Betriebssystems bereit, ein Sicherheitsforscher warnt jetzt vor einer Zero-Day-Lücke. Demnach gibt ein Fehler alle in "Schlüsselbund" gespeicherten Passwörter preis.

Nicht nur High Sierra betroffen

Der Sicherheitsexperte Patrick Wardle, Chief Security Researcher bei den Ransomware-Spezialisten von Synack, hatte nur wenige Stunden nach dem Release von macOS 10.13 eine Zero-Day-Lücke in Apples neuestem Desktop-Betriebssystem öffentlich gemacht. Wie Wardle ausführt, erlaubt der Fehler, dass alle Inhalte, die im sogenannten "Schlüsselbund" abgelegt wurden, im Klartext ausgelesen werden können - und das ohne, dass das Schlüsselbund-Master-Passwort eingegeben werden muss. Nachdem das Problem in macOS High Sierra entdeckt wurde, konnte der Experte feststellen, dass auch die Vorgänger-Version sowie weitere ältere Mac-Betriebssysteme betroffen sind. MacOS: Der Schlüsselbund ist in Gefahr Für Wardle war der Angriff möglich gewesen, indem er seinen Exploit in eine "KeychainStealer"-App integrierte, die lokal ausgeführt werden musste. Um den gesamten Schlüsselbund zu kompromittieren, sei es aber auch möglich, den Exploit in eine legitime App zu integrieren oder in einem E-Mail-Anhang unterzubringen. Da in dem Schlüsselbund neben Passwörtern auch Zahlungs- und Kreditkartendaten hinterlegt werden können, sei die Lücke als besonders kritisch zu bewerten.

Apple konnte noch nicht fixen

Wardle hatte Apple selbst bereits vor einem Monat über den Fehler informiert, wie sich jetzt zeigt, war das Unternehmen bis zur geplanten Veröffentlichung von macOS 10.13 aber nicht in der Lage, eine Lösung für das Problem zu finden. "Als begeisterter Mac-Nutzer werde ich von der macOS-Sicherheit ständig enttäuscht", so der Sicherheitsforscher. "Das sollte niemand bei Apple persönlich nehmen, aber jedes Mal, wenn ich mir macOS anschaue, fällt etwas um. Ich glaube, Nutzer sollten sich der Risiken bewusst sein, weil ich mir sicher bin, dass Angreifer über dieselben Fähigkeiten verfügen", erläutert Wardle laut dem Bericht von ZDNet.

"Apples Marketing hat großartige Arbeit geleistet, um die Leute davon zu überzeugen, dass macOS sicher ist, und ich denke, dass dies ziemlich unverantwortlich ist und zu Problemen führt, bei denen Mac-Benutzer übertrieben zuversichtlich und damit anfälliger sind", so das Resümee des Sicherheitsforschers. Er erwarte, dass Apple in Kürze einen entsprechenden Patch bereitstellt.

MacOS High Sierra Das verfeinert Apple an seinem Desktop-OS Apple iMac Pro vorgestellt Schick designter All-In-One mit Server-Technik Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr