Zero-Day-Lücke: MacOS High Sierra legt Passwörter im Klartext offen

Seit gestern stellt Apple mit macOS 10.13 High Sierra eine neue Version seines Betriebssystems bereit, ein Sicherheitsforscher warnt jetzt vor einer Zero-Day-Lücke. Demnach gibt ein Fehler alle in "Schlüsselbund" gespeicherten Passwörter preis. mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Er gab Apple einen ganzen Monat Zeit um ein grundlegendes Sicherheitsproblem, dass versionsübergreifend existiert zu lösen?
Dieser Mensch hat offenbar sehr viel Ahnung von Softwareentwicklung und genaue Kenntnisse, wie ein Integrations-/Systemtest abläuft.
Ein Monat für die Lösung eines solchen Problems ist schlicht hirnrissig und das publizieren der Sicherheitslücke ist grob fahrlässig. Da kann der "Gute" auch noch so sehr betonen was für ein begeisterter Mac-Nutzer er ist, ich hoffe Apple klagt ihn in Grund und Boden. Btw mag ich Apple im Ganzen nicht besonders, aber bin Personen wie Patrick Wardle, die mit Absicht alle -ALLE- Anderen ins Messer laufen lassen, mit Abstand stärker abgeneigt.
 
@erso: Warum sollte man ihn verklagen. Apple hätte ja zumindest die neue Version bis zur Lösung des Problems verschieben können... Aber offensichtlich hat es die ja nicht interessiert.

Das löst zwar nicht das Problem bei den alten Versionen aber wäre zumindest schon mal ein Anfang gewesen...

Und ohne Druck geht bei Apple oft sowieso nichts - das wird ignoriert bis es öffentlich ist... (Aber ist nicht nur bei Apple so)

Allein das Melden von Sicherheitsproblemen ist bei den meisten Firmen schon fast unmöglich - der Support blockt das ab oder gibt es nicht weiter und redet es klein. Die einzige Möglichkeit Druck aufzubauen ist die Veröffentlichung....
z.B. https://winfuture.de/news,99541.html
 
@Stefan1979: "Apple hätte ja zumindest die neue Version bis zur Lösung des Problems verschieben können... Aber offensichtlich hat es die ja nicht interessiert." Ahja. Dann wären wir immer noch beider ersten Windows-, Android- oder Sonstwas-Version. Denn jedes dieser Systeme hat seine Schwachstellen mit denen es veröffentlicht wurde. Und vieles wurde nicht gefixt bis irgendein dahergelaufener "Experte" drüber gestolpert ist. Letztens wurde auf einer anderen Seite Google in Schutz genommen mit der Aussage das kein Hersteller/Entwickler seine Software auf 100% der möglichen Probleme testen kann. Warum ist das hier anders? Und wenn es wie hier auch alle bisherigen Versionen betrifft: warum wurde es erst jetzt gefunden und öffentlich gemacht?
 
@rico_1: "Dann wären wir immer noch beider ersten Windows-, Android- oder Sonstwas-Version. Denn jedes dieser Systeme hat seine Schwachstellen mit denen es veröffentlicht wurde."

Ja - aber da waren die Fehler noch nicht bekannt sondern sind erst nach der Veröffentlichung bekannt geworden.

Das Problem hier sehe ich darin dass Apple Bescheid wusste und es mit dem bekannten Fehler Veröffentlich hat.

Hätte man das ein paar Wochen verschoben hätte man genügend Entwickler gehabt sie sich erstmal um die Lösung in den alten Versionen kümmern... Dann würde es evtl. schon einen Patch geben...

Aber klar dass es so nicht klappt - alle sind mit dem neuen OS beschäftigt und keiner kümmert sich um die alten Fehler...
 
@Stefan1979: das ganze wurde erst Anfang September gemeldet, wenige Tage vor Release. Normalerweise wird den Firmen mehr Zeit eingeräumt. Stimmt, zu dem Zeitpunkt läuft alles auf Hochtouren für das neue System. Ja es ist ein schwerer Fehler, aber nach Ansicht von Apple ist es eben vertretbar die Nutzer vorerst darauf hinzuweisen nichts zu installieren was nicht aus sicherer Quelle kommt. Denn dieses Programm was dafür verwendet wurde muss meines Wissens nach explizit installiert werden mit Zustimmung des Nutzers.
Und es wurden auch andere Systeme mit Fehlern ausgeliefert, Day-1-Patches gibt es zu Hauf.

Ja man hätte es anders lösen können, aber eine Firma zu verteufeln während andere mit den gleichen Strategien durchkommen bzw. noch in Schutz genommen werden halte ich persönlich für etwas schizophren (nicht auf dich bezogen).
 
man sollte - wenn man schon über etwas berichtet - auch beide Seiten zitieren. Ach ja, geht um Apple, da braucht man das nicht.

Ich zitiere mal schnell den Spiegel, der hat etwas besser recherchiert: "..In einem Video zeigt er, wie er mit einer eigens dafür programmierten App den sogenannten Schlüsselbund von macOS auslesen kann. Der Schlüsselbund ist eine verschlüsselte Datei, in der das Betriebssystem beispielsweise Passwörter für Websites und Zugangsdaten für Server ablegen kann.
Die von Wardle gezeigte Methode ist allerdings nur dann wirklich gefährlich, wenn der Anwender mitspielt. Darauf weist Apple in einer Stellungnahme gegenüber dem Tech-Magazin "Cnet" hin.
Anwender würden vom System vor der Installation von Apps wie der von Wardle gezeigten gewarnt, heißt es darin. Ohne die Zustimmung des Users könnte sich eine solche Software also nicht einnisten. Die einzige Möglichkeit für einen Angreifer wäre es, dem Nutzer eine andere Software unterzuschummeln, in der die Schadsoftware verborgen ist. Solche Manipulationen sollen durch die Kontrollen im App Store verhindert werden. "Wir empfehlen Nutzern, Software nur aus vertrauenswürdigen Quellen wie dem App Store herunterzuladen und Warnhinweise des Betriebssystems zu beachten", heißt es von Apple."
 
@rico_1: Gleiches gilt fuer Windows seit 20 jahren:)
 
@-adrian-: Was meinst du? Kontrollen von Apps über den Store? Oder Hinweise auf die Zugrffsberechtigungen des Programmes bei der Installation?
 
@rico_1: Was willst du jetzt sagen? Was du beschreibst steht doch im Text.
 
@Odi waN: nein, davon steht nicht im obigen Text. Lediglich die Geschichte des Experten wurde abgetippt
 
@rico_1: "Ohne die Zustimmung des Users könnte sich eine solche Software also nicht einnisten." WF: Um den gesamten Schlüsselbund zu kompromittieren, sei es aber auch möglich, den Exploit in eine legitime App zu integrieren oder in einem E-Mail-Anhang unterzubringen.
Sry aber das ist eine technische Seite und kein Schmierblatt wie der Spiegel. Wir als Informationstechniker können mit solchen Aussagen umgehen und WISSEN, das der Nutzer aktiv diese App oder was auch immer ausführen muss. WIR wissen auch das eine Meldung kommt wenn es nicht ganz koscher ist. Es geht aber auch mit legitimen Apps, da kommt solch ein Meldung nicht.
 
@Odi waN: nun wenn ihr als IT-ler damit umzugehen wisst ist doch alles gut. Frage ist was ist mit den Nicht-ITlern? Dürfen die nicht lesen das es bereits ein Statement seitens Apple gab?
Und wenn dies hier wirklich eine Tech-Seite wäre würde es dann nicht besser sein wertfrei zu und nicht polarisierend zu berichten? Du als IT-ler müsstest eigentlich am besten wissen was alle großen Softwareschmieden seit Jahren predigen. Nämlich Software nur aus sicheren Quellen (wie eben dem AppStore) zu installieren und keine Anhänge in irgendwelchen Mails zu öffnen. Alles soweit ok und akzeptabel, nur wenn Apple das selbe kommuniziert wird es hier als Weltfremd bezeichnet?
 
@Odi waN: es es denn du meinst lediglich den ersten zitierten Absatz
 
@rico_1: jetzt bin ich abe neugierig. WOMIT ist der schlüsselbund ANGEBLICH verschlüsselt? das Masterpasswort kanns ja nicht sein, denn sonst würde die software gar nciht an den bund kommen ohne dass dieses eingegeben wird.
 
also mich wundert es ja wie dieser fehler überhaupt entstehen kann.

wenn das konzept ist dass man JEDES MAL wenn man was aus der keychain braucht das masterpasswort eingeben muss, warum liegt diese dann nicht vollständig verschlüsselt auf der platte und wenn was gebraucht wird wird se in den RAM gelesen, dort und NUR dort (sowas darf nicht auf nen swap bzw für windows leute, in die auslagerungsdatei) entschlüsselt, das gemacht was gemacht werden soll und dann wieder ausm RAM GELÖSCHT.

dass man aber ohne root oder masterpasswort an den gesamten inhalt vom Schlüsselbund kommt ist schon irgendwie hirnrissig. da frage ich mich ja wie der wo abgespeichert wird.
Kommentar abgeben Netiquette beachten!
Einloggen